Há centenas de developers que estão a ver os seus repositórios nas plataformas Git a serem eliminados e substituídos por uma mensagem de ransomware a exigir o pagamento de 1 bitcoin para reaverem os seus projectos.
Alguém está a realizar um ataque coordenado nas plataformas Git mais populares - GitHub, GitLab e Bitbucket - que parece estar a afectar contas que tinham passwords pouco seguras, ou que ficaram expostas na internet (muitas vezes, ao partilhar repositórios, deixa-se que por lá fiquem informações que não deviam ser expostas). Suspeita-se que o atacante tenha varrido a internet à procura de todos os ficheiros de configuração do Git, e extraído as credenciais de todos os que conseguiu encontrar.
Dang, I thought all those "/.git/config" scans we detected were harmless. Guess we know what the goal was now.— Bad Packets Report (@bad_packets) May 3, 2019
O resultado são centenas de repositórios que apresentam uma mensagem de resgate a exigir o pagamento de 1 BTC, mas a parte positiva é a de que aparentemente é fácil recuperar deste ataque.
O script utilizado pelo atacante parece estar apenas a corromper o repositório de modo a que não fique visível, mas continuando a lá estar e a poder ser recuperado, se ainda tiverem os ficheiros localmente, usando-se:
git push origin HEAD:master --force... Pode ser que, pelo menos, sirva para que os utilizadores afectados passem a utilizar a autenticação 2-factor para protegerem os seus repositórios contra este tipo de ataques.
Arrepiante... :(
ResponderEliminarPor essa eu não esperava.
ResponderEliminar