Таинственный взломщик удаляет исходные коды на GitHub и требует у программистов выкуп

Безопасность Пользователю Интернет Веб-сервисы
мобильная версия
, Текст: Эльяс Касми 2462
Крупнейшие Git-хостинги подверглись нападению хакера, в результате которого сотни разработчиков лишились исходного кода своих приложений. Преступник грозится их распространить код в Сети. Количество пострадавших пользователей исчисляется сотнями.

Хакер против программистов

Неизвестный хакер (или группа хакеров) взломал Git-репозитории с исходным кодом приложений, размещенные на крупных Git-хостингах и выкрал файлы, после чего удалил их из взломанных аккаунтов. На действия киберпреступника пожаловались сотни разработчиков.

Завладев чужой интеллектуальной собственностью, хакер потребовал от программистов по 0,1 биткоина или около $570 (37,1 тыс. руб. по курсу ЦБ на 6 мая 2019 г.) с каждого. Своим жертвам он отправил сообщение, в котором заявил, что все украденные файлы он перенес на собственный сервер. На выплату выкупа он выделил девелоперам ровно 10 дней, и если по истечении этого срока деньги не будут перечислены, он пообещал выложить всю украденную информацию в открытом доступе.

Всем своим жертвам хакер отправлял биткоин-адрес для перевода средств. На момент публикации материала по нему была совершена лишь одна транзакция на сумму 0.00052525 биткоин или около $3 (приблизительно 200 руб.).

Сообщение с биткоин-адресом, которое получили все владельцы взломанных Git-репозиториев

Git-репозитории основаны на распределенной системе управления версиями разрабатываемых приложений, разработанной в 2005 г. Линусом Торвальдсом (Linus Torwalds) и получившей название «Git». Репозитории – это место хранения исходных кодов, и сами они могут находиться как на удаленных сервисах (Git-хостингах), так и на локальном компьютере разработчика. К наиболее популярным Git-хостингам относятся сервисы GitHub, Codebase, SourceForge, Gitorious и др.

Масштабы случившегося

Точное количество программистов, атакованных хакерами, неизвестно. На 6 мая 2019 г. известно о взломе сервисов GitLab и BitBucket, и в этот список может попасть хостинг Private Git.

По словам некоторых пользователей, пострадавших от действий киберпреступника, они использовали слабые пароли и не удаляли токены доступа к приложениям, не используемым в течение длительного времени. Хакер мог воспользоваться этой лазейкой для получения доступа.

Директор по безопасности GitLab Кэти Ванг (Kathy Wang) подтвердила, что многие пострадавшие использовали ненадежные пароли. По ее словам, расследование происшествия уже ведется, и все владельцы взломанных аккаунтов уже оповещены – им предложено поменять свои пароли на более стойкие к взлому и активировать двухфакторную аутентификацию.

GitHub не остался в стороне

Сервис GitHub, основанный в 2008 г. и крупнейший в своем сегменте (его услугами пользуются свыше 28 млн разработчиков со всего света) тоже пострадал от действий хакеров. По данным портала Zdnet, скомпрометированными оказались около 400 аккаунтов в нем, но это предварительные подсчеты, и их может оказаться больше. Напомним, что с июня 2018 г. GitHub принадлежит корпорации Microsoft, которая в январе 2019 г. запустила кампанию по привлечению новых пользователей путем предоставления им бесплатных репозиториев для хранения «секретных» проектов.

Git-репозитории, к слову, нередко привлекают внимание хакеров, стремящихся украсть интеллектуальную собственность. К примеру, в начале 2017 г. пользователям все того же GitHub массово подсовывали вредоносное ПО под видом предложений о работе. Им присылали письмо с RAR-архивом, содержащим файл MS Word с макросом, который выполняет команду PowerShell на скачивание и запуск файла с трояном Dimnie. Вредонос может, в том числе, делать скриншоты рабочего стола и красть другие данные, включая исходный код программ.

Надежда есть

На момент публикации материала личности причастных к взлому Git-репозиториев установлены не были. Разработчики, как показал отчет об указанном хакером биткоин-адресе, пока не спешат перечислять ему затребованную для выкупа сумму, тем более, что есть шанс восстановить украденные данные.

git602.jpg
Деньги за украденный код хакер пока не получил

Участники форума StackExchange Security, изучив сложившуюся ситуацию, пришли к выводу, что хакер не стал удалять весь украденный им код из аккаунтов разработчиков. Вместо этого он поменял заголовки Git-коммитов, и это дает возможность восстановить утраченный исходный код. 100-процентной гарантии восстановления это не дает, но участники форума уже распространили в интернете соответствующую инструкцию.

Специалисты по защите информации просят не передавать выкуп вымогателям

Некоторые специалисты по информационной безопасности уверены, что существуют и другие способы восстановления украденных данных. В своих микроблогах в Twitter они рекомендуют пострадавшим не соглашаться на перевод денег вымогателям и связаться с техподдержкой используемых ими репозиториев.