2019/05/04

Repositórios do GitHub, GitLab e Bitbucket estão a ser atacados por ransomware


Há centenas de developers que estão a ver os seus repositórios nas plataformas Git a serem eliminados e substituídos por uma mensagem de ransomware a exigir o pagamento de 1 bitcoin para reaverem os seus projectos.

Alguém está a realizar um ataque coordenado nas plataformas Git mais populares - GitHub, GitLab e Bitbucket - que parece estar a afectar contas que tinham passwords pouco seguras, ou que ficaram expostas na internet (muitas vezes, ao partilhar repositórios, deixa-se que por lá fiquem informações que não deviam ser expostas). Suspeita-se que o atacante tenha varrido a internet à procura de todos os ficheiros de configuração do Git, e extraído as credenciais de todos os que conseguiu encontrar.



O resultado são centenas de repositórios que apresentam uma mensagem de resgate a exigir o pagamento de 1 BTC, mas a parte positiva é a de que aparentemente é fácil recuperar deste ataque.

O script utilizado pelo atacante parece estar apenas a corromper o repositório de modo a que não fique visível, mas continuando a lá estar e a poder ser recuperado, se ainda tiverem os ficheiros localmente, usando-se: git push origin HEAD:master --force

... Pode ser que, pelo menos, sirva para que os utilizadores afectados passem a utilizar a autenticação 2-factor para protegerem os seus repositórios contra este tipo de ataques.

2 comentários:

[pub]