“別動，再動我開槍了！”一個彪形漢子用槍指著宅宅的腦袋，食指死死扣在扳機(jī)上一動不動。這個搶劫犯是認(rèn)真的！宅宅雙腿軟成面條，豆大的汗珠滾滾而下，連求饒的力氣都沒了。

砰地一聲，一切都結(jié)束了......睜開眼，槍口里的小旗迎風(fēng)飄揚(yáng)，上面五個大字鮮艷奪目——瞧你個損塞。

另一頭，是摘下頭套后笑到抽風(fēng)的宅宅同事......阿西~你被這樣一本正經(jīng)的鬧劇整過嗎？安全界，類似不明真假的狀況時常出現(xiàn)。最新消息稱，GitHub已經(jīng)遭到黑客攻擊，數(shù)百源代碼被竊取并被黑客用于勒索比特幣。

然而，這很可能只是出鬧劇，為啥這么說？且看下文。

大佬被搶，給錢放“人”

據(jù)cnBeta報道，此次Git倉庫被黑客洗劫勒索的事件，微軟似乎也未能幸免。

微軟已確認(rèn)其開源平臺昨天也被黑客攻擊，并同樣被要求支付款項(xiàng)才能歸還被竊取的392個源碼，這些倉庫的代碼和提交的信息均被一個名為 “gitbackup” 的賬號刪除。

從留言內(nèi)容看，黑客已將受害者的Git倉庫中所有源代碼和最近提交的Repo刪除，只留下了0.1 比特幣（約 ￥3850）的贖金票據(jù)。

票據(jù)中寫道：“要想恢復(fù)已丟失的代碼，請將0.1 BTC發(fā)送到比特幣地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA，并將Git登錄信息和付款證明發(fā)送郵件至admin@gitsbackup.com。如不確定是否持有你的數(shù)據(jù)，可發(fā)送信息獲得驗(yàn)證。10天內(nèi)沒有收到付款，將公開代碼或以其他方式使用。”

得知消息后，GitHub回應(yīng)：“目前，我們正在與受影響的用戶聯(lián)系，以保護(hù)和恢復(fù)他們的賬戶?！盉itcoinAbuse 平臺顯示，該比特幣地址目前還未收到贖金。

GitHub建議用戶開啟雙因素身份驗(yàn)證，為賬戶添加額外的安全層。

此次攻擊開始于5月3日，除了GitHub之外，包括Bitbucket和GitLab在內(nèi)的多個代碼托管平臺也都受到了影響。

看似正經(jīng)，實(shí)則鬧??？

從留言看，黑客刪除了存儲庫中的全部數(shù)據(jù)信息，不過，真是如此嗎？

1、代碼還在

GitLab安全總監(jiān)Kathy Wang發(fā)表聲明回應(yīng)網(wǎng)絡(luò)攻擊：“我們已確定受影響的用戶帳戶，并已通知所有這些用戶。根據(jù)調(diào)查結(jié)果，我們有充分證據(jù)表明受損帳戶的帳戶密碼以明文形式存儲在相關(guān)存儲庫的部署中?！?/p>

也就是說，Kathy Wang認(rèn)為黑客在票據(jù)中寫到的已經(jīng)刪除存儲庫中全部數(shù)據(jù)信息的說法或許并非屬實(shí)。不是全刪了嗎，這話又怎么說？實(shí)際上，這是StackExchange安全論壇的成員針對此次攻擊進(jìn)行深入研究后得到的結(jié)論。

研究發(fā)現(xiàn)“通常來說，‘git reflog’標(biāo)示會顯示提交的全部數(shù)據(jù)，也就是說攻擊者很難克隆每一個存儲庫，讓他們在源代碼中尋找敏感數(shù)據(jù)或公開代碼的機(jī)會也很低。所以，這次攻擊更像是隨機(jī)、大規(guī)模的攻擊，攻擊本身由腳本生成?！?/p>

他們發(fā)現(xiàn)，黑客似乎并沒有向勒索票據(jù)中說的完全刪除這些數(shù)據(jù)，而僅僅是改變了Git提交標(biāo)頭，也就是說這些數(shù)據(jù)很可能在特定情況下得以恢復(fù)。

2、攻擊分析

為找到這些攻擊者，StackExchange研究人員做了一個釣魚實(shí)驗(yàn)：

首先，他們啟用了一些私人存儲庫，其中一部分修改成了容易破解的弱密碼，刪除了其一年多尚未使用的一個訪問令牌，另一部分則不變。然后，研究人員向GitLab發(fā)送郵件，希望他們可以及時通知攻擊者在執(zhí)行攻擊時候的進(jìn)/出入口，以及期間的操作內(nèi)容。

研究人員稱，盡管我的弱密碼以“a”開頭且只有“az”字符，攻擊者卻并沒有懷疑它是否是我們?yōu)榱恕搬烎~”而專門設(shè)定了這一陷阱。實(shí)際上，研究發(fā)現(xiàn)，攻擊者通過自動檢查的方式查詢到了他們的賬戶，并且執(zhí)行了一系列的git命令。

“如果這是他們的入侵方式，那么就意味著我們綁定的GitLab / GitHub郵件和密碼也可能已被泄露在賬戶列表中。而在這種情況發(fā)生的前一個小時內(nèi)，谷歌搜索并沒有表現(xiàn)出任何的異常反應(yīng)?！?/p>

另一處異常是：研究人員肯定在這之前沒有使用過訪問令牌的地方和位置，但結(jié)果是計算機(jī)上自動生成了這一切，因此他懷疑這正是問題所在。此外，還有4名開發(fā)人員也可以使用于實(shí)驗(yàn)的存儲庫，這意味著他們的帳戶也可能受到攻擊。

再深入研究，整個過程似乎并沒有顯示出明顯的入侵攻擊行為?！拔矣肂itDefender掃描了我的計算機(jī)但找不到任何痕跡。我肯定自己的計算機(jī)沒有被惡意軟件/木馬所感染，所以造成這一切的不會是上述情況?！?/p>

研究人員提到：“該實(shí)驗(yàn)過程使用的是最新版本的SourceTree，這讓我懷疑是不是我的SourceTree或者系統(tǒng)（Windows 10）存在某些漏洞。當(dāng)然，目前的一切都只是分析?！?/p>

目前，StackExchange正和GitLab獲取更多信息（如果有的話）以幫助其深入研究恢復(fù)方案。

參考來源：StackExchange；cnBeta

-----招聘好基友的分割線-----

雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），專注先鋒科技，講述黑客背后的故事。

招聘崗位：

網(wǎng)絡(luò)安全編輯（采編崗）

工作內(nèi)容：

主要負(fù)責(zé)報道國內(nèi)外網(wǎng)絡(luò)安全相關(guān)熱點(diǎn)新聞、會議、論壇、公司動向等；

采訪國內(nèi)外網(wǎng)絡(luò)安全研究人員，撰寫原創(chuàng)報道，輸出領(lǐng)域的深度觀點(diǎn)；

針對不同發(fā)布渠道，策劃不同類型選題；

參與打理宅客頻道微信公眾號等。

崗位要求：

對網(wǎng)絡(luò)安全有興趣，有相關(guān)知識儲備或從業(yè)經(jīng)歷更佳；

科技媒體1-2年從業(yè)經(jīng)驗(yàn)；

有獨(dú)立采編和撰寫原創(chuàng)報道的能力；

加分項(xiàng)：網(wǎng)感好，擅長新媒體寫作、90后、英語好、自帶段子手屬性……

你將獲得的是：

與國內(nèi)外網(wǎng)絡(luò)安全領(lǐng)域頂尖安全大牛聊人生的機(jī)會；

國內(nèi)出差可能不新鮮了，我們還可以硅谷輪崗、國外出差（+順便玩耍）；

你將體驗(yàn)各種前沿黑科技，掌握一手行業(yè)新聞、大小公司動向，甚至是黑客大大們的獨(dú)家秘聞；

老司機(jī)編輯手把手帶；

以及與你的能力相匹配的薪水。

坐標(biāo)北京，簡歷投遞至：liqin@leiphone.com雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。