GitHub遭黑客攻擊：竊取數百原始碼並勒索比特幣

摘要： 大資料文摘編輯部出品 五一過後，一些程式設計師檢視自己託管到GitHub上的程式碼時發現，他們的原始碼和Repo都已消失不見，上週四，一位Reddit使用者寫了一篇帖子，說他的儲存庫被黑了。程式碼也被刪除了，取而代之的是黑客留下的一封勒索信。 黑客在這封信中表示，他們已經將原...

大資料文摘編輯部出品

五一過後，一些程式設計師檢視自己託管到GitHub上的程式碼時發現，他們的原始碼和Repo都已消失不見，上週四，一位Reddit使用者寫了一篇帖子，說他的儲存庫被黑了。程式碼也被刪除了，取而代之的是黑客留下的一封勒索信。

黑客在這封信中表示，他們已經將原始碼下載並存儲到了自己的伺服器上。受害者要在10天之內，往特定賬戶支付0.1比特幣，約合人民幣3800元，否則他們將會公開程式碼，或以其他的方式使用它們。

黑客留言：

“要恢復丟失的程式碼並避免洩漏：將比特幣（BTC）傳送到我們的比特幣地址，並通過電子郵件[email protected]與我們聯絡，並附上您的Git登入資訊和付款證明，”

“如果您不確定我們是否有您的資料，請聯絡我們，我們會向您傳送證明。您的程式碼已下載並備份到我們的伺服器上。”

“如果我們在未來10天內未收到您的付款，我們會將您的程式碼公開或以其他方式使用。”

警告的帖子

https://www.reddit.com/r/git/comments/bk1eco/git_ransomware_anyone_else_been_a_victim/?ref=readnext

雖然有數百名受害者，但目前黑客並沒有賺很多錢。 目前，黑客的比特幣錢包只收到了2.99美元左右的一筆付款。 反而，在Bitcoin Abuse 資料庫上， 黑客的錢包地址已經被34人舉報了。

數以百計的受害者

黑客黑了包括微軟在內的多達392個程式碼儲存庫，根據Motherboard報道，多達1000名使用者可能會受到攻擊。

目前尚不清楚黑客如何闖入所有這些賬戶，Atlassian正在調查這些事件以試圖解決這個問題。不僅僅是GitHub，其他程式碼託管網站GitLab、Bitbucket也受到了攻擊。因此黑客很可能是針對安全性較差的儲存庫而不是特定的漏洞。

目前還不清楚是否存在有價值的東西在這次黑客活動中被盜。因為GitHub上的許多程式碼儲存庫都是公共的。而且有一些使用者上傳的專案程式碼“半生不熟”。所以，損失或許沒有想象的那麼大。

成為受害者的使用者大多是在他們的GitHub，GitLab和Bitbucket帳戶使用了弱密碼，或者忘記刪除他們幾個月沒用過的舊應用程式的訪問令牌，基本上都是這兩種。

在推特上，開發者社群的一些重要人物目前敦促受害者在支付任何贖金需求之前聯絡GitHub，GitLab或Bitbucket的支援團隊，因為可能有其他方法可以恢復已刪除的程式碼。

GitLab安全總監Kathy Wang也發表宣告迴應網路攻擊：

“我們已確定受影響的使用者帳戶，並已通知所有這些使用者。根據我們的調查結果，我們有充分證據表明受損帳戶的帳戶密碼以明文形式儲存在相關儲存庫的部署中。“

GitLab建議為了防止密碼被黑客盜取，可以啟用雙因素身份驗證，為帳戶SSH金鑰；使用強密碼，用密碼管理工具儲存密碼，不要使用明文。

大型自救現場

如果你不幸收到了勒索信，也不要著急交贖金，黑客入侵的可是程式設計師的大本營，兄弟們替你來支招。

一名受害者聲稱已經發現黑客實際上並沒有刪除程式碼，並且只要受害者在他們的機器上有備份程式碼，就可以通過一種相對簡單的方法來恢復檔案。

這裡是他給出的補救辦法：

https://security.stackexchange.com/questions/209448/gitlab-account-hacked-and-repo-wiped

輸入

git reflog

你可以看見黑客的評論。

輸入

git checkout origin/master

你可以看見你的檔案。

接著：

git checkout origin/mastergit reflog # take the SHA of the last commit of yoursgit reset [SHA]

然後可以修復你的origin/master

輸入

git statusHEAD detached from origin/master

問題還沒有解決。

如果你在本地備份了程式碼，那麼直接：

git push origin HEAD:master --force

就可以解決問題。

針對預防此類攻擊，熱心網友在帖子中給出建議

Daniel Ruf 說：之所以發生這種情況，是因為.git/config包含了遠端URL，人們在其中添加了使用者名稱，這種情況下不應該包含密碼相關資訊。 人們應該使用SSH，部署金鑰或對每次拉取進行身份驗，切勿將憑據儲存在配置檔案中。

     

關於部署金鑰的詳細教程：

https://developer.github.com/v3/guides/managing-deploy-keys/

https://gist.github.com/zhujunsan/a0becf82ade50ed06115

https://help.github.com/en/articles/caching-your-github-password-in-git

其實，黑客入侵Github時有發生。 在2018年，Gentoo Linux發行版的維護方釋出了一份事件報告，稱此前有人劫持了該組織的一個GitHub帳戶並植入了惡意程式碼。在今年4月份， Docker Hub資料庫遭遇未授權人士訪問，並導致約19萬用戶的敏感資訊曝光在外，這批資訊包含一部分使用者名稱與雜湊密碼，以及GitHub與Bitbucket儲存庫的登入令牌。目前，Github tokens 被撤銷，已禁用構建。