GitHub遭黑客攻击:窃取数百源码并勒索比特币

大数据文摘编辑部出品

五一过后,一些程序员查看自己托管到GitHub上的代码时发现,他们的源代码和Repo都已消失不见,上周四,一位Reddit用户写了一篇帖子,说他的存储库被黑了。代码也被删除了,取而代之的是黑客留下的一封勒索信。

黑客在这封信中表示,他们已经将源代码下载并存储到了自己的服务器上。受害者要在10天之内,往特定账户支付0.1比特币,约合人民币3800元,否则他们将会公开代码,或以其他的方式使用它们。

黑客留言:

“要恢复丢失的代码并避免泄漏:将比特币(BTC)发送到我们的比特币地址,并通过电子邮件admin@gitsbackup.com与我们联系,并附上您的Git登录信息和付款证明,”

“如果您不确定我们是否有您的数据,请联系我们,我们会向您发送证明。您的代码已下载并备份到我们的服务器上。”

“如果我们在未来10天内未收到您的付款,我们会将您的代码公开或以其他方式使用。”

警告的帖子

https://www.reddit.com/r/git/comments/bk1eco/git_ransomware_anyone_else_been_a_victim/?ref=readnext

虽然有数百名受害者,但目前黑客并没有赚很多钱。 目前,黑客的比特币钱包只收到了2.99美元左右的一笔付款。 反而,在Bitcoin Abuse 数据库上, 黑客的钱包地址已经被34人举报了。

数以百计的受害者

黑客黑了包括微软在内的多达392个代码存储库,根据Motherboard报道,多达1000名用户可能会受到攻击。

目前尚不清楚黑客如何闯入所有这些账户,Atlassian正在调查这些事件以试图解决这个问题。不仅仅是GitHub,其他代码托管网站GitLab、Bitbucket也受到了攻击。因此黑客很可能是针对安全性较差的存储库而不是特定的漏洞。

目前还不清楚是否存在有价值的东西在这次黑客活动中被盗。因为GitHub上的许多代码存储库都是公共的。而且有一些用户上传的项目代码“半生不熟”。所以,损失或许没有想象的那么大。

成为受害者的用户大多是在他们的GitHub,GitLab和Bitbucket帐户使用了弱密码,或者忘记删除他们几个月没用过的旧应用程序的访问令牌,基本上都是这两种。

在推特上,开发者社区的一些重要人物目前敦促受害者在支付任何赎金需求之前联系GitHub,GitLab或Bitbucket的支持团队,因为可能有其他方法可以恢复已删除的代码。

GitLab安全总监Kathy Wang也发表声明回应网络攻击:

“我们已确定受影响的用户帐户,并已通知所有这些用户。根据我们的调查结果,我们有充分证据表明受损帐户的帐户密码以明文形式存储在相关存储库的部署中。“

GitLab建议为了防止密码被黑客盗取,可以启用双因素身份验证,为帐户SSH密钥;使用强密码,用密码管理工具存储密码,不要使用明文。

大型自救现场

如果你不幸收到了勒索信,也不要着急交赎金,黑客入侵的可是程序员的大本营,兄弟们替你来支招。

一名受害者声称已经发现黑客实际上并没有删除代码,并且只要受害者在他们的机器上有备份代码,就可以通过一种相对简单的方法来恢复文件。

这里是他给出的补救办法:

https://security.stackexchange.com/questions/209448/gitlab-account-hacked-and-repo-wiped

输入

git reflog

你可以看见黑客的评论。

输入

git checkout origin/master

你可以看见你的文件。

接着:

git checkout origin/mastergit reflog # take the SHA of the last commit of yoursgit reset [SHA]

然后可以修复你的origin/master

输入

git statusHEAD detached from origin/master

问题还没有解决。

如果你在本地备份了代码,那么直接:

git push origin HEAD:master --force

就可以解决问题。

针对预防此类攻击,热心网友在帖子中给出建议

Daniel Ruf 说:之所以发生这种情况,是因为.git/config包含了远程URL,人们在其中添加了用户名,这种情况下不应该包含密码相关信息。 人们应该使用SSH,部署密钥或对每次拉取进行身份验,切勿将凭据存储在配置文件中。

关于部署密钥的详细教程:

https://developer.github.com/v3/guides/managing-deploy-keys/

https://gist.github.com/zhujunsan/a0becf82ade50ed06115

https://help.github.com/en/articles/caching-your-github-password-in-git

其实,黑客入侵Github时有发生。在2018年,Gentoo Linux发行版的维护方发布了一份事件报告,称此前有人劫持了该组织的一个GitHub帐户并植入了恶意代码。在今年4月份,Docker Hub数据库遭遇未授权人士访问,并导致约19万用户的敏感信息曝光在外,这批信息包含一部分用户名与散列密码,以及GitHub与Bitbucket存储库的登录令牌。目前,Github tokens 被撤销,已禁用构建。

Image placeholder
lh505063331
未设置
  88人点赞

没有讨论,发表一下自己的看法吧

推荐文章
比特币新手图文教程:一步一步教会你用比特币HD钱包,批量产生多个比特币地址和私钥

HD钱包可以快速方便的生成多个比特币地址,并且不需要备份对应的私钥。你只需要备份一个父私钥就可以把所有的私钥和地址全部恢复。比特币hd钱包解决了下面几个问题: 每次生成一个新地址都需要备份一遍私钥,操

黑客锁定市政系统勒索比特币,政府拒付赎金!全美最危险城市陷入瘫痪的第三周……

大数据文摘出品作者:李雷、狗小白、宋欣仪政府邮箱无法访问、所有水电费停车费无法缴纳、所有房产交易无法进行。在美国东部城市巴尔的摩市,这样的市政系统瘫痪已经持续了三周。5月初,黑客入侵并控制了美国马里兰

使用公共WiFi?您的数据很容易被黑客攻击!

每个人都可以轻松访问公共WiFi,免费冲浪听起来很酷,但是风险也很大。让我们看看您的数据如何被轻松入侵的。在当代网络世界中,WiFi已成为一种至关重要的商品。无论地点的大小如何,WiFi现在安装在每个

美国银行Capital One承认被黑客攻击,超1亿个人数据遭窃

大数据文摘出品作者:易琬玉美国最大的银行之一CapitalOne客户信息服务器被黑,导致超过1亿人的个人数据被窃取。根据法庭文件,嫌疑犯是33岁的女工程师PaigeThompson,Thompson曾

比特币暴跌 15%,自 6 月以来首次跌破 8000 美元

北京时间25日消息,据CoinDesk数据显示,全球最受欢迎的加密货币比特币周二暴跌15%,跌至7,944.33美元的低点。这是自6月中旬以来,比特币首次跌破8000美元,也是四个月来的最低水平。 分

B站工程源码泄露,Github标星9k+,内含部分用户名密码

大数据文摘出品作者:蒋宝尚、宋欣仪昨儿个,文摘菌日常在B站上看看本山大爷的视频,听听吴亦凡的大碗面。突然弹幕画风突变,评论区集体喊话B站,“你家后院着火了”。原来,Bilibili的网站后台源码被发到

黑客入侵检查

黑客入侵检查 思路 扫描木马工具:clamAV官网:http://pkgs.repoforge.org/clamav/ CentOS安装:yuminstall-yclamav* 启动clamAV服务

知道创宇杨冀龙:变被动为主动,引入黑客视角护航IOT安全

提到无锡,除了太湖的美你还能想到些什么?我想到的是物联网,作为大家公认的“物联网之城”,无锡的物联网产业发展迅猛。根据无锡市委领导介绍,无锡是目前全国唯一的国家传感网创新示范区,从2009年开始,无锡

开曼国家银行已证实被黑客入侵:2.21 TB数据惨遭泄露

“或许这只是冰山一角,其背后还隐匿着更多的深海冰川。”开曼群岛——一个吸引人的财政天堂。近日,据外媒报道,匿名黑客入侵了开曼国家银行,并泄露了2.21TB数据,此外,他还向其他黑客提供100,000美

全球“黑客大赛”冠军霸气讲述:我是如何让50个文件一起骗过AI安防系统的?

大数据文摘出品来源:medium编译:邢畅、张睿毅、钱天培你有没有想过当黑客呢?破解手机密码,黑入公司系统,甚至…控制全球电脑。打住打住!违法犯罪的念头显然不能有。再退一步讲,咱也不一定有这本事。尤其

比起黑客,员工无意识的数据泄露可能更可怕

国外nCipherSecurity公司发布的2019年全球加密趋势研究显示,员工失误被列为企业数据泄露的最高风险,员工使用的公司网络设备应该受到更多的安全审查。该研究显示,在评估安全风险时,导致敏感数

DataX增量抽取数据

项目地址:https://github.com/WeiYe-Jing/datax-webdatax作业配置文件datax.json{ "job":{ "setting":{ "speed":{ "ch

GoWeb教程_09.1. 预防CSRF攻击

什么是CSRF CSRF(Cross-siterequestforgery),中文名称:跨站请求伪造,也被称为:oneclickattack/sessionriding,缩写为:CSRF/XSRF。

GoWeb教程_09.3. 避免 XSS 攻击

随着互联网技术的发展,现在的Web应用都含有大量的动态内容以提高用户体验。所谓动态内容,就是应用程序能够根据用户环境和用户请求,输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(CrossSit

互联网行业如何防御CC攻击?

如今,互联网给企业生活带来了各种各样便利的同时,也给企业带来了各种网络风险。尤其是互联网行业,一直是DDoS、CC等攻击的重灾区,所以,做好攻击防御非常必要。但仍有一些互联网企业不重视安全防御,认为不

超8千Star,火遍Github的Python反直觉案例集!

大数据文摘授权转载作者:SatwikKansal译者:暮晨Python,是一个设计优美的解释型高级语言,它提供了很多能让程序员感到舒适的功能特性。但有的时候,Python的一些输出结果对于初学者来说似

面向回家编程!GitHub标星两万的”Python抢票教程”,我们先帮你跑了一遍

盼望着,盼望着,春节的脚步近了,然而,每年到这个时候,最难的,莫过于一张回家的火车票。据悉,今年春运期间,全国铁路发送旅客人次同比将增长8.0%。达到4.4亿人次,2020年铁路春运自1月10日开始,

GitHub上十大很火的Python项目,最后一个竟然是它!

课程推荐:Python开发工程师--学习猿地--送9个上线商业项目 作为程序开发人员,GitHub是大家平时必逛的网站,GitHub作为目前全球比较大的男性同性交友平台,上面存在着太多太多的宝藏程序。

估值 27.5 亿美元,GitLab“超车”GitHub

近日,知名代码托管平台GitLab宣布完成E轮2.68亿美元融资。据悉,本次融资由高盛银行和IconiqCappital牵头,包括YCombinatorContinuity基金。这可能是该公司上市前

玩转 GitHub Actions,简化 npm 发布流程

Github最近添加了一项名为GithubActions的新功能,为我们带来了一套强大的工作流系统,可以处理各种各样的任务。我们在发布Node.js包时可以使用Actions自动运行测试,然后自动将

GitHub 被墙后的生存之道

背景 从今天开始,陆陆续续看到很多小伙伴说Github登录不上去了,我当然也不例外,但对于我这样的重度Github使用者,这是无法接受的。 前提 首先SS是肯定可以解决我们的访问问题的,但是这里我不会

最流行的 Go Web 框架: GitHub Star 数量排行(2019)

搜索到了这个资源,可以一目了然地看到GitHub上GoWeb框架受欢迎程度,分享给大家。项目名称 GitHubStar数 创建年份 gin 33177 2014 beego 22599 2012 ir

GitHub Actions,卧槽!牛批!

前段时间我更新了我的分布式爬虫管理框架——Gerapy现在DevOps的理念可谓是相当火,其中CI/CD(持续集成、持续部署)是必不可少的环节。有了它们,我们开发完软件之后,一些测试、构建、部署的

Github一天标星1k+,程序员需要知道的那些定理和法则

大数据文摘出品编译:蒋宝尚、曹培信摩尔定律知道么?帕金森定律讲的又是啥?作为一名合格的开发人员,除了本身码力超强外,或多或少要知道几条“”潜规则”,例如依赖倒置原则、鲁棒性原则……关于开发人员必须要知

GitHub上标星1.5w,被B站使用,flv.js开源作者月薪还不到5k!学历对程序员有多重要?

大数据文摘出品作者:刘俊寰上周,文摘菌向大家介绍了在美国当数据科学家的年薪水平,发现科学家们的整体薪资走势虽然有所下降,但是年薪中位数保持在12万美元左右。同一时间,知乎上一个很老的话题忽然被重提,也