Вымогатели атаковали сотни пользователей Git, угрожая уничтожить код в репозиториях, если разработчики не заплатят выкуп. По мнению экспертов, причиной взлома стало ненадежное хранение паролей.
О проблеме стало известно из поста на Reddit, где пользователь под ником youxufkhan рассказал, как чуть не потерял свой код. Непосредственно перед инцидентом у него завис компьютер, что вынудило разработчика перезагрузить машину. При следующем запуске клиент Git выдал критическую ошибку и самостоятельно начал переустановку.
По завершении процесса youxufkhan так и не смог вернуться к работе из-за повреждения корневого файла с изменениями. Пользователь был вынужден сбросить настройки клиента, что вернуло файл более чем на 3,2 тыс. коммитов назад. В одном из последних сохраненных добавлений он обнаружил сообщение от вымогателя.
Злоумышленник дал разработчику 10 дней, чтобы перечислить 0,1 BTC (около 37 тыс. руб. на момент публикации) на указанный кошелек. После этого преступник пообещал вернуть код, который якобы сохранен на его сервере. В противном случае вымогатель пригрозил выложить похищенные наработки в публичный доступ.
Этот случай закончился удачно для youxufkhan: он восстановил данные из копии на компьютере коллеги. Всего же, по оценкам журналистов, атака затронула почти 400 пользователей Git. Судя по балансу указанного в сообщении кошелька, к настоящему моменту никто не поддался на уговоры злоумышленников.
Отчасти это может быть связано с тем, что некоторые пользователи смогли самостоятельно вернуть утраченный код. Как выяснилось вскоре после первых атак, злоумышленники не очищают хранилища, а только меняют заголовки коммитов. Это позволяет в отдельных случаях восстановить данные за несколько простых шагов.
Представители GitLab подтвердили, что незадолго до атак неизвестные сканировали Интернет в поисках конфигурационных файлов Git и пользовательских учетных данных. По словам главы отдела безопасности GitLab Кэти Вэнг (Kathy Wang), злоумышленники заполучили пароли потому, что жертвы атак сохраняли их в открытом виде прямо в своих репозиториях.
Эксперты также сообщили, что для взлома можно было использовать токены аутентификации, по которым к Git подключаются сторонние приложения. Некоторые жертвы признались, что действительно не утруждались созданием сильных паролей и забывали отозвать доступ у неиспользуемых программ.
Ранее исследователи обнаружили, что пользователи GitHub держат в публичных репозиториях токены API и криптографические ключи. Более чем в 80% случаев владельцы таких хранилищ не осознают угрозу, оставляя эти ценные данные в открытом доступе.
Источник: https://threatpost.ru/git-repositories-get-wiped-due-to-poor-password-handling/32538/