“別動，再動我開槍了！”一個彪形漢子用槍指著宅宅的腦袋，食指死死扣在扳機上一動不動。這個搶劫犯是認真的！宅宅雙腿軟成面條，豆大的汗珠滾滾而下，連求饒的力氣都沒了。

砰地一聲，一切都結束了......睜開眼，槍口里的小旗迎風飄揚，上面五個大字鮮艷奪目——瞧你個損塞。

另一頭，是摘下頭套后笑到抽風的宅宅同事......阿西~你被這樣一本正經的鬧劇整過嗎？安全界，類似不明真假的狀況時常出現(xiàn)。最新消息稱，GitHub已經遭到黑客攻擊，數(shù)百源代碼被竊取并被黑客用于勒索比特幣。

然而，這很可能只是出鬧劇，為啥這么說？且看下文。

大佬被搶，給錢放“人”

據cnBeta報道，此次Git倉庫被黑客洗劫勒索的事件，微軟似乎也未能幸免。

微軟已確認其開源平臺昨天也被黑客攻擊，并同樣被要求支付款項才能歸還被竊取的392個源碼，這些倉庫的代碼和提交的信息均被一個名為 “gitbackup” 的賬號刪除。

從留言內容看，黑客已將受害者的Git倉庫中所有源代碼和最近提交的Repo刪除，只留下了0.1 比特幣（約 ￥3850）的贖金票據。

票據中寫道：“要想恢復已丟失的代碼，請將0.1 BTC發(fā)送到比特幣地址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA，并將Git登錄信息和付款證明發(fā)送郵件至admin@gitsbackup.com。如不確定是否持有你的數(shù)據，可發(fā)送信息獲得驗證。10天內沒有收到付款，將公開代碼或以其他方式使用?！?/p>

得知消息后，GitHub回應：“目前，我們正在與受影響的用戶聯(lián)系，以保護和恢復他們的賬戶?！盉itcoinAbuse 平臺顯示，該比特幣地址目前還未收到贖金。

GitHub建議用戶開啟雙因素身份驗證，為賬戶添加額外的安全層。

此次攻擊開始于5月3日，除了GitHub之外，包括Bitbucket和GitLab在內的多個代碼托管平臺也都受到了影響。

看似正經，實則鬧??？

從留言看，黑客刪除了存儲庫中的全部數(shù)據信息，不過，真是如此嗎？

1、代碼還在

GitLab安全總監(jiān)Kathy Wang發(fā)表聲明回應網絡攻擊：“我們已確定受影響的用戶帳戶，并已通知所有這些用戶。根據調查結果，我們有充分證據表明受損帳戶的帳戶密碼以明文形式存儲在相關存儲庫的部署中。”

也就是說，Kathy Wang認為黑客在票據中寫到的已經刪除存儲庫中全部數(shù)據信息的說法或許并非屬實。不是全刪了嗎，這話又怎么說？實際上，這是StackExchange安全論壇的成員針對此次攻擊進行深入研究后得到的結論。

研究發(fā)現(xiàn)“通常來說，‘git reflog’標示會顯示提交的全部數(shù)據，也就是說攻擊者很難克隆每一個存儲庫，讓他們在源代碼中尋找敏感數(shù)據或公開代碼的機會也很低。所以，這次攻擊更像是隨機、大規(guī)模的攻擊，攻擊本身由腳本生成?！?/p>

他們發(fā)現(xiàn)，黑客似乎并沒有向勒索票據中說的完全刪除這些數(shù)據，而僅僅是改變了Git提交標頭，也就是說這些數(shù)據很可能在特定情況下得以恢復。

2、攻擊分析

為找到這些攻擊者，StackExchange研究人員做了一個釣魚實驗：

首先，他們啟用了一些私人存儲庫，其中一部分修改成了容易破解的弱密碼，刪除了其一年多尚未使用的一個訪問令牌，另一部分則不變。然后，研究人員向GitLab發(fā)送郵件，希望他們可以及時通知攻擊者在執(zhí)行攻擊時候的進/出入口，以及期間的操作內容。

研究人員稱，盡管我的弱密碼以“a”開頭且只有“az”字符，攻擊者卻并沒有懷疑它是否是我們?yōu)榱恕搬烎~”而專門設定了這一陷阱。實際上，研究發(fā)現(xiàn)，攻擊者通過自動檢查的方式查詢到了他們的賬戶，并且執(zhí)行了一系列的git命令。

“如果這是他們的入侵方式，那么就意味著我們綁定的GitLab / GitHub郵件和密碼也可能已被泄露在賬戶列表中。而在這種情況發(fā)生的前一個小時內，谷歌搜索并沒有表現(xiàn)出任何的異常反應。”

另一處異常是：研究人員肯定在這之前沒有使用過訪問令牌的地方和位置，但結果是計算機上自動生成了這一切，因此他懷疑這正是問題所在。此外，還有4名開發(fā)人員也可以使用于實驗的存儲庫，這意味著他們的帳戶也可能受到攻擊。

再深入研究，整個過程似乎并沒有顯示出明顯的入侵攻擊行為?！拔矣肂itDefender掃描了我的計算機但找不到任何痕跡。我肯定自己的計算機沒有被惡意軟件/木馬所感染，所以造成這一切的不會是上述情況?！?/p>

研究人員提到：“該實驗過程使用的是最新版本的SourceTree，這讓我懷疑是不是我的SourceTree或者系統(tǒng)（Windows 10）存在某些漏洞。當然，目前的一切都只是分析?！?/p>

目前，StackExchange正和GitLab獲取更多信息（如果有的話）以幫助其深入研究恢復方案。

參考來源：StackExchange；cnBeta

-----招聘好基友的分割線-----

雷鋒網宅客頻道（微信公眾號：letshome），專注先鋒科技，講述黑客背后的故事。

招聘崗位：

網絡安全編輯（采編崗）

工作內容：

主要負責報道國內外網絡安全相關熱點新聞、會議、論壇、公司動向等；

采訪國內外網絡安全研究人員，撰寫原創(chuàng)報道，輸出領域的深度觀點；

針對不同發(fā)布渠道，策劃不同類型選題；

參與打理宅客頻道微信公眾號等。

崗位要求：

對網絡安全有興趣，有相關知識儲備或從業(yè)經歷更佳；

科技媒體1-2年從業(yè)經驗；

有獨立采編和撰寫原創(chuàng)報道的能力；

加分項：網感好，擅長新媒體寫作、90后、英語好、自帶段子手屬性……

你將獲得的是：

與國內外網絡安全領域頂尖安全大牛聊人生的機會；

國內出差可能不新鮮了，我們還可以硅谷輪崗、國外出差（+順便玩耍）；

你將體驗各種前沿黑科技，掌握一手行業(yè)新聞、大小公司動向，甚至是黑客大大們的獨家秘聞；

老司機編輯手把手帶；

以及與你的能力相匹配的薪水。

坐標北京，簡歷投遞至：liqin@leiphone.com雷鋒網雷鋒網

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。