曉查 乾明 發(fā)自 凹非寺

　　量子位 報道 公眾號 QbitAI

　　程序員的大本營被黑客攻擊了！

　　就在五一假期的最后一天，一些程序員查看自己托管到 GitHub 上的代碼時發(fā)現(xiàn)，他們的源代碼和 Repo 都已消失不見，取而代之的是黑客留下的一封勒索信！

　　這封信中表示，他們已經(jīng)將源代碼下載并存儲到了自己的服務器上。

　　受害者要在 10 天之內(nèi)，往特定賬戶支付 0.1 比特幣（約合人民幣 3800 元），否則他們將會公開代碼，或以其他的方式使用它們。

要找回你丟失的代碼并避免代碼泄漏：將 0.1 比特幣(BTC)發(fā)送至我們的比特幣地址 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA，并通過郵件與我們聯(lián)系，提供您的 git 登錄信息和付款證明。地址為 admin[at]gitsbackup[dot]com。

如果你不確定我們是否有你的數(shù)據(jù)，請聯(lián)系我們，我們會給你發(fā)送證明。你的代碼已經(jīng)被下載并備份到我們的服務器上。

如果我們在接下來的 10 天內(nèi)沒有收到你的付款，我們將公開你的代碼或以其他方式使用它們。

　　從這個威脅話語來看，受到攻擊的是 GitHub 上的私有庫。而且，不僅僅是 GitHub，其他代碼托管網(wǎng)站 GitLab、Bitbucket 也受到了攻擊。

　　突如其來的攻擊

　　根據(jù) GitHub 上的搜索數(shù)據(jù)顯示，一共有 373 名用戶受到了攻擊。根據(jù) GitLab 公布的數(shù)據(jù)，黑客至少可以訪問所有 131 個用戶和 163 個存儲庫。

　　這些受到攻擊的儲存庫的代碼和提交信息，全都被一個名為 “gitbackup” 的賬號刪除。

　　在各大社交媒體上，一些受害者將遭到攻擊歸咎于 Atlassian 開發(fā)的 Git GUI 應用程序 SourceTree，認為黑客利用了其中的漏洞。

　　但攻擊波及的范圍涵蓋多個平臺，The Register 報道稱，這次攻擊很可能是針對無意識的安全性較差的存儲庫，而不是特定的漏洞。

　　根據(jù) ZdNet 報道，黑客可能是掃描互聯(lián)網(wǎng)上的 Git 配置，然后提取了其中的登錄憑證登錄 Git 庫，來完成的這波操作。

　　截止到發(fā)稿時間，還沒有人向攻擊者的比特幣賬戶支付贖金。取而代之的是，這一比特幣地址遭到了不少舉報。

　　根據(jù) Bitcoin Abuse 數(shù)據(jù)庫顯示，已經(jīng)有 31 人舉報了這一比特幣地址，表示對方是一個黑客，希望刪除地址。

　　ZdNet 記者 Catalin Cimpanu 表示，攻擊現(xiàn)在已經(jīng)停止，并沒有新的賬戶被攻擊的情況出現(xiàn)。

　　遭到攻擊不要慌

　　根據(jù) GitLab 的官方聲明，這次黑客攻擊事件最大的問題在用戶：

“我們有充分證據(jù)表明，受影響帳戶的密碼以明文形式存儲在相關代碼庫的部署中。”

　　因此提高安全意識才是保護自己代碼的最好方法，GitLab 建議用以下方法防止密碼被黑客盜取：

　　1、使用強密碼，降低被黑客破解的風險；

　　2、用密碼管理工具存儲密碼，不要使用明文；

　　3、開啟雙因素身份驗證，并使用 SSH 密鑰提高。

　　如果你已經(jīng)不幸中招，也不要急著交贖金，因為即使交錢也無法保證代碼不會被黑客公開。

　　至于已經(jīng)被刪除的代碼，一位早期受害者在 StackExchange 論壇指出，代碼其實還在，是可以恢復出來的，只是 HEAD 被黑客修改了而已。

　　他還給出了一系列補救辦法，被 GitLab 官方推薦。

　　輸入以下代碼：




　　能看到黑客的提交記錄，并修復 origin/master。但是問題還沒有完全解決，如果輸入git status，還是會顯示：

　　如果你在本地備份了代碼，那就好辦了，直接把本地代碼強制 push 上去：

　　如果你在本地沒有備份，仍然可以從遠程庫克隆，用git reflog或者git fsck可以找到最后一次提交并更改 HEAD。

　　接下來唯一需要擔心的可能就是黑客是否會公布你的私有代碼了。

　　代碼被公開之痛

　　關于代碼被公開，國內(nèi)一些公司也有切膚之痛。

　　比如大疆，其一名前員工，將含有公司商業(yè)機密的代碼上傳到了 GitHub 的公有倉庫中，造成源代碼泄露。

　　根據(jù)這些源代碼，攻擊者可以 SSL 證書私鑰，訪問客戶的敏感信息，比如用戶信息、飛行日志等等。

　　根據(jù)評估，這次泄漏代碼一共給大疆造成了 116.4 萬的經(jīng)濟損失。

　　前不久，關于這一代碼泄露事件也得到了判決：

有期徒刑六個月，并處罰金 20 萬。

　　最近，B站的源代碼也被人公開到 GitHub，雖然很快被封禁，B站也已經(jīng)報警處理，但有不少網(wǎng)友克隆了代碼庫，隱患已經(jīng)埋下，補救起來也頗為頭疼。

　　如果黑客公開了這次獲取的所有代碼，對其中一些小團隊來說可能就是滅頂?shù)拇驌袅恕?/p>

總結

以上是生活随笔為你收集整理的GitHub遭攻击！黑客给出十天限期：不交比特币赎金，就公开用户私有代码的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。