2019年05月06日 | 微软中枪，GitHub数百源代码被黑客删除用于勒索

2019-05-06 来源：雷锋网

“别动，再动我开枪了！”一个彪形汉子用枪指着宅宅的脑袋，食指死死扣在扳机上一动不动。这个抢劫犯是认真的！宅宅双腿软成面条，豆大的汗珠滚滚而下，连求饶的力气都没了。

砰地一声，一切都结束了......睁开眼，枪口里的小旗迎风飘扬，上面五个大字鲜艳夺目——瞧你个损塞。

另一头，是摘下头套后笑到抽风的宅宅同事......阿西~你被这样一本正经的闹剧整过吗？安全界，类似不明真假的状况时常出现。最新消息称，GitHub已经遭到黑客攻击，数百源代码被窃取并被黑客用于勒索比特币。

然而，这很可能只是出闹剧，为啥这么说？且看下文。

大佬被抢，给钱放“人”

据cnBeta报道，此次Git仓库被黑客洗劫勒索的事件，微软似乎也未能幸免。

微软已确认其开源平台昨天也被黑客攻击，并同样被要求支付款项才能归还被窃取的392个源码，这些仓库的代码和提交的信息均被一个名为 “gitbackup” 的账号删除。

从留言内容看，黑客已将受害者的Git仓库中所有源代码和最近提交的Repo删除，只留下了0.1 比特币（约 ?3850）的赎金票据。

得知消息后，GitHub回应：“目前，我们正在与受影响的用户联系，以保护和恢复他们的账户。”BitcoinAbuse 平台显示，该比特币地址目前还未收到赎金。

GitHub建议用户开启双因素身份验证，为账户添加额外的安全层。

此次攻击开始于5月3日，除了GitHub之外，包括Bitbucket和GitLab在内的多个代码托管平台也都受到了影响。

看似正经，实则闹剧？

从留言看，黑客删除了存储库中的全部数据信息，不过，真是如此吗？

1、代码还在

GitLab安全总监Kathy Wang发表声明回应网络攻击：“我们已确定受影响的用户帐户，并已通知所有这些用户。根据调查结果，我们有充分证据表明受损帐户的帐户密码以明文形式存储在相关存储库的部署中。”

也就是说，Kathy Wang认为黑客在票据中写到的已经删除存储库中全部数据信息的说法或许并非属实。不是全删了吗，这话又怎么说？实际上，这是StackExchange安全论坛的成员针对此次攻击进行深入研究后得到的结论。

研究发现“通常来说，‘git reflog’标示会显示提交的全部数据，也就是说攻击者很难克隆每一个存储库，让他们在源代码中寻找敏感数据或公开代码的机会也很低。所以，这次攻击更像是随机、大规模的攻击，攻击本身由脚本生成。”

他们发现，黑客似乎并没有向勒索票据中说的完全删除这些数据，而仅仅是改变了Git提交标头，也就是说这些数据很可能在特定情况下得以恢复。

2、攻击分析

为找到这些攻击者，StackExchange研究人员做了一个钓鱼实验：

首先，他们启用了一些私人存储库，其中一部分修改成了容易破解的弱密码，删除了其一年多尚未使用的一个访问令牌，另一部分则不变。然后，研究人员向GitLab发送邮件，希望他们可以及时通知攻击者在执行攻击时候的进/出入口，以及期间的操作内容。

研究人员称，尽管我的弱密码以“a”开头且只有“az”字符，攻击者却并没有怀疑它是否是我们为了“钓鱼”而专门设定了这一陷阱。实际上，研究发现，攻击者通过自动检查的方式查询到了他们的账户，并且执行了一系列的git命令。

“如果这是他们的入侵方式，那么就意味着我们绑定的GitLab / GitHub邮件和密码也可能已被泄露在账户列表中。而在这种情况发生的前一个小时内，谷歌搜索并没有表现出任何的异常反应。”

另一处异常是：研究人员肯定在这之前没有使用过访问令牌的地方和位置，但结果是计算机上自动生成了这一切，因此他怀疑这正是问题所在。此外，还有4名开发人员也可以使用于实验的存储库，这意味着他们的帐户也可能受到攻击。

再深入研究，整个过程似乎并没有显示出明显的入侵攻击行为。“我用BitDefender扫描了我的计算机但找不到任何痕迹。我肯定自己的计算机没有被恶意软件/木马所感染，所以造成这一切的不会是上述情况。”

研究人员提到：“该实验过程使用的是最新版本的SourceTree，这让我怀疑是不是我的SourceTree或者系统（Windows 10）存在某些漏洞。当然，目前的一切都只是分析。”

目前，StackExchange正和GitLab获取更多信息（如果有的话）以帮助其深入研究恢复方案。

GITHUB 源代码微软