一名黑客正在擦拭Git存储库并要求勒索赎金

数百名开发人员已经删除了Git源代码存储库，取而代之的是赎金需求。这些攻击今天早些时候开始，似乎在Git托管服务(GitHub，Bitbucket，GitLab)之间进行协调，目前还不清楚它们是如何发生的。众所周知，黑客从vitcims的Git存储库中删除了所有源代码和最近提交的内容，并留下了支持0.1比特币(约$ 570)的赎金票据。

黑客声称所有源代码都已经下载并存储在他们的一台服务器上，并且给受害者十天时间支付赎金;否则，他们会公开代码。

要恢复丢失的代码并避免泄漏：将0.1比特币(BTC)发送到我们的比特币地址ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA，并通过电子邮件admin@gitsbackup.com通过您的Git登录和付款证明与我们联系。如果您不确定我们是否有您的数据，请与我们联系，我们将向您发送证明。您的代码已下载并备份在我们的服务器上。如果我们在接下来的10天内没有收到您的付款，我们会将您的代码公开或以其他方式使用。

需要通过ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA比特币地址付款，该地址在撰写本文时尚未收到任何资金。

数以百计的受害者和数数

GitHub搜索显示到目前为止至少有392个GitHub存储库被赎回。

据BitcoinAbuse.com，一个跟踪用于可疑活动的比特币地址的网站，今天有这个地址有27个滥用报告，当时它首次被索引在该网站的数据库中。所有滥用报告都包含相同的赎金记录，表明比特币地址正用于针对Git帐户的协调攻击。

一些成为这个黑客的受害者的用户已经承认使用弱密码用于他们的GitHub，GitLab和Bitbucket帐户，而忘记删除他们几个月没用过的旧应用程序的访问令牌 - 这两种用户都非常常见。哪些在线帐户通常会受到损害。

但是，所有证据表明，黑客已经扫描了整个互联网上的Git配置文件，提取了凭据，然后使用这些登录访问Git托管服务并赎回帐户。

Dang，我认为我们检测到的所有“/.git/config”扫描都是无害的。猜猜我们知道现在的目标是什么。

- Bad Packets报告(@bad_packets)2019年5月3日

在给ZDNet的电子邮件中，GitLab安全总监Kathy Wang承认，这是用户今天早些时候在StackExchange上报告的帐户泄露的根本原因。

我们根据Stefan Gabos昨天提交的支持票据确定了消息来源，并立即开始调查此问题。我们已确定受影响的用户帐户，并且已通知所有这些用户。根据我们的调查结果，我们有充分证据表明，受损帐户的帐户密码以明文形式存储在相关存储库的部署中。我们强烈建议使用密码管理工具以更安全的方式存储密码，并尽可能启用双因素身份验证，这两种方法都可以防止此问题

拥有Bitbucket的公司Atlassian没有对评论请求作出回应，但他们开始向客户通知其认为黑客获取非法访问权限的帐户，并开始向登录尝试失败的帐户发送安全警报。

好消息是，在挖掘受害者的案例后，StackExchange安全论坛的成员发现黑客实际上没有删除，但是merele改变了Git提交头，这意味着在某些情况下可以恢复代码提交。

此页面提供了有关如何恢复损坏的Git存储库的说明。

在推特上，开发者社区的一些重要人物目前敦促受害者在支付任何赎金需求之前联系GitHub，GitLab或Bitbucket的支持团队，因为可能有其他方法可以恢复已删除的回购。