Erpressung: Hacker löschen Git-Quellcode-Repositories

Hunderte Entwickler mussten gerade feststellen, dass Hacker ihre Quellcode-Gits (GitHub, Bitbucket, GitLab) gelöscht und mit Zufallsdaten gefüllt haben. Die Hacker fordern Lösegeld binnen 10 Tagen,  sonst würden die Daten gelöscht.


Anzeige

Der Angriff scheint heute Nacht koordiniert auf verschiedene 'Git-Konten' angelaufen zu sein. Die Opfer fanden dann nur noch eine Notiz auf ihrem Git vor, die Lösegeld in Form von Bitcoins fordert.

Die Erpresser fordern lediglich 0,1 Bitcoins (570 $) binnen 10 Tagen. Andernfalls würde der 'gesicherte Code' gelöscht. Opfer können Proben des 'gesicherten Quellcodes' anfordern. Auf der Bitcoin Abuse-Datenbank finden sich inzwischen 28 Fälle, wo Opfer einen Eintrag hinterlassen haben.

Auf Stack-Exchange findet sich dieser Thread, der die Geschichte berichtet. Es handelt sich um einen Entwickler, der ein privates Projekt auf einem Git hostet.


Anzeige

GitLab account hacked and repo wiped

I was working on a project, a private repo, and suddenly all the commits disappeared and were replaced with a single text file saying

To recover your lost code and avoid leaking it: Send us 0.1 Bitcoin (BTC) to our Bitcoin address 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA and contact us by Email at admin@gitsbackup.com with your Git login and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your code is downloaded and backed up on our servers. If we dont receive your payment in the next 10 Days, we will make your code public or use them otherwise.

At the time of this happening, Google search didn't show up anything, but in an hour or so this started coming up.

I am using SourceTree (always up-to-date) but somehow I doubt that SourceTree is the issue, or that my system (Windows 10) was compromised. I'm not saying it's not that, it's just that I doubt it.

This happened only to one of my repositories (all of them private) and all the others were left untouched. I changed my password, enabled 2 factor authentication, removed one access token that I wasn't using for years and wrote an email to GitLab in the hopes that they could tell me something about where/who the attacker got in.

My password was a weak one that could've been relatively easily cracked via brute-force (it's not a common one but starts with "a" and has only a-z characters in it) and it could be that they just automatically checked if they can access the account and then ran some git commands. It is also possible that my email address and that particular password are on a list of leaked accounts. One might argue that if this is how they got in, they would've simply changed the account credentials but searching the Internet revealed that in these cases GitLab/GitHub will simply restore the credentials for you, and so I assume this is why they didn't do it this way.

Could've also been that old access token, I can't remember what and where I used it for in the past – most likely generated for use on a computer I previously owned, so I doubt that that was the issue.

There are also 4 developers working on it, all having full access to the repository, so their accounts being compromised is also a possibility.

I've scanned my computer with BitDefender and couldn't find anything but I am not doing shady things on the internet so I don't think that me being infected with a malware/trojan is what caused this.

I am waiting for an answer from GitLab and maybe they can shed some light on this. I have the code base on my local Git, so that is not an issue, but I am not pushing the code back to the repository just yet. Also, just in case the code gets published somewhere, I will change any passwords that are to be found in the source (databases, IMAP accounts).

Der Betroffene hat inzwischen neue Erkenntnisse in Form von Updates gepostet. Der Quellcode ist im Git nicht gelöscht.

UPDATE

I found out that the code isn't gone. I tried accessing a commit's hash and it worked. So the code is there but there's something wrong with the HEAD. My knowledge on this is very limited but

git reflog

shows all my commits.

What this means to me is that the attackers most likely didn't clone the repositories (would be a logistical nightmare to do this for all the victims, anyway) and that the chances for them going over the source code looking for sensitive data, or of making the code public are low. It also means to me that is not a targeted attack but a random, bulk attack, carried out by a script. I really hope this is the case for our own sake!

In einem zweiten und dritten Update dieses Threads legt er offen, was er herausgefunden hat und wie er seine Quellen restaurieren kann. Wie er schreibt, ist der Quellcode nicht gelöscht, die Header der Gits wurden wohl manipuliert. Aktuell deutet vieles darauf hin, dass die Hacker das Internet nach Git-Konfigurationsdateien und extrahierten Anmeldeinformationen gescannt und diese dann für den Zugriff auf Git-Hosting-Diensten verwendet haben.

Auf ZDnet.com gibt es inzwischen diesen Artikel zum Thema. Irgend jemand von euch betroffen?


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Erpressung: Hacker löschen Git-Quellcode-Repositories

  1. Aslan sagt:

    Kleine Anmerkung:
    Es wird gedroht den Code zu veröffentlichen bzw. anderweitig zu nutzen und nicht zu löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.