Хакер требует выкуп за восстановление удаленных Git-репозиториев

Сетевые источники сообщают о том, что сотни разработчиков обнаружили исчезновение кода в их Git-репозиториях. Неизвестный хакер угрожает опубликовать код, если его требования о выкупе не будут выполнены в указанный срок. Сообщения об атаках появились в субботу. По всей видимости, они скоординированы через хостинг-сервисы Git (GitHub, Bitbucker, GitLab). Все еще остается непонятным, каким образом атаки были осуществлены.

Сообщается, что хакер удаляет из репозитория весь исходный код, а вместо него оставляет сообщение, в котором просит заплатить выкуп в размере 0,1 биткоина, что приблизительно равно $570. Хакер также сообщает, что весь код сохранен и находится на одном из подконтрольных ему серверов. Если в течение 10 дней выкуп не поступит, то он обещает разместить похищенный код в открытом доступе.

По данным ресурса BitcoinAbuse.com, который занимается отслеживанием биткоин-адресов, замеченных в подозрительных действиях, за последние сутки для указанного адреса было зафиксировано 27 отчетов, в каждом из которых находился одинаковый текст.

Часть пользователей, которые подверглись атаке неизвестного хакера, сообщили о том, что использовали недостаточно надежные пароли для своих аккаунтов, а также не удаляли токены доступа для приложений, неиспользуемых длительное время. Судя по всему, хакер осуществил сканирование сети с целью поиска файлов конфигурации Git, обнаружение которых позволило извлечь пользовательские учетные данные.

Директор по безопасности GitLab Кэти Ванг (Kathy Wang) подтвердила наличие проблемы, сказав, что расследование инцидента было начато еще вчера, когда была получена первая жалоба пользователя. Она также сообщила, что удалось определить учетные записи, которые были взломаны, их владельцев уже оповестили. Проделанная работа помогла подтвердить предположение о том, что пострадавшие использовали недостаточно надежные пароли. Пользователям рекомендуется применять специальные инструменты управления паролями, а также двухфакторную аутентификацию, чтобы предотвратить возникновение подобных проблем в будущем.

Участники форума StackExchange изучили ситуацию и пришли к выводу, что хакер не удаляет весь код, а меняет заголовки Git-коммитов. Это означает, что в ряде случаев пользователи смогут восстановить утраченный код. Столкнувшимся с проблемой пользователям рекомендуется связаться с поддержкой сервисов.