GitHub 告急 黑客威脅程序員不交錢就刪庫_HUB:Digital Files

作者|伍杏玲

出品|CSDN

5月3日，當中國程序員正愉快地過五一節時，國外程序員突然發現自己GitHub上的代碼不翼而飛！自己的GitHub一秒變成懸疑片現場，不僅被黑客攻擊刪代碼了，囂張的黑客還留下一封勒索信：

如果你要恢復丟失的代碼和避免我們泄漏代碼：需要先支付0.1個比特幣到這個地址：1ES14C7QLB5cyhlmuektxlgc1f2v2ti9da，再將Git登錄名和支付證明發送到這個郵箱里。

如果你不相信我們是否真的有你的數據，我們可以向你發送證據。你的代碼我們已下載并備份到服務器上。

如果我們在10天內沒有收到錢，我們將公開你的代碼或亂使用它們。

不僅是GitHub被黑客攻擊，據ZDNet報道，還有Bitbucket、GitLab也遭受同樣的攻擊。

這究竟是發生了什么事呢？

黑客攻擊勒索的驚魂記

一程序員在Reddit發帖講述其遭遇黑客攻擊被勒索的過程：當他修復一個Bug正要用SourceTree提交，當點擊提交按鈕時，電腦死機了。因為他的電腦經常會死機，所以他一開始沒有察覺到異常。可當他重啟動電腦后，SourceTree崩潰了，并提示重新安裝。重新安裝后，他又發現一個問題：Git索引文件損壞了！于是他在網上找了個簡單的命令來修復程序。他先是刪除了索引，然后點擊重置。

Marathon Digital CEO：拜登對比特幣礦工征稅的計劃不會成功:金色財經報道，美國總統喬-拜登的政府最近宣布了一項對美國比特幣礦工征稅的提議。但Marathon Digital首席執行官Fred Thiel表示，這種政策方法如果實施，將把挖礦公司趕到國外，不會籌集到預期的資金。Thiel證實，該公司上個月收到了美國證券交易委員會的傳票，但他說，這并不表明除了要求提供信息之外還有什么。Thiel 表示，他相信政府內部有更廣泛的舉措來瞄準比特幣經濟，包括礦工。雖然我不會說他們想要殺死比特幣，但他們想讓人們很難操作，并補充說該公司已經在尋求在國外發展。 馬拉松剛剛在阿布扎比宣布了一個新項目，還在巴拉圭等地積極尋找世界各地的新項目。[2023/5/19 15:12:31]

然后他發現他落后了超3200個Commits！這時他這才停下來看看自己最近提交的內容，代碼全沒了！整個項目僅剩下一個上述勒索信的文件！他還看了下Bitbucket，所有的遠程分支都不見了！

這不僅是個別用戶，截至發稿，在GitHub搜索比特幣地址，還有326個被黑的項目。

CFTC指控Digitex創始人非法運營加密平臺:金色財經報道，加密期貨和現貨市場交易所 Digitex 的創始人亞當·托德（Adam Todd）已被商品期貨交易委員會指控多次違反《商品交易法》（CEA）。根據周五在佛羅里達州南區提起的訴訟，托德被指控使用各種公司實體，包括 Digitex LLC、Digitex Ltd.、Digitex Software Ltd. 和 Blockster Holdings Ltd. Corp.來經營非法的加密貨幣衍生品交易平臺。

CFTC 還指控托德試圖操縱 Digitex 的原生代幣 DGTX，利用非經濟交易“推高”其價格。CFTC 正在尋求對 Todd 和 Digitex 相關實體的民事罰款、非法所得、歸還以及交易和注冊禁令。（coindesk）[2022/10/1 18:36:35]

又是DDoS攻擊？

這不是第一次GitHub遭遇黑客攻擊了：

2018年2月28日，GitHub遭到峰值攻擊流量高達1.35Tbps的DDoS攻擊，導致官網在一小段時間內無法訪問。

游戲引擎公司Unity以16億美元收購特效工作室Weta Digital，以布局元宇宙:11月10日消息，游戲引擎公司Unity將以16.3億美元的現金和股票收購為《指環王》和《阿凡達》制作特效的工作室Weta Digital，以布局元宇宙。Unity將能利用Weta Digital的技術和人才開發特效工具，并聚焦于元宇宙機會。Weta Digital獲得奧斯卡獎的特效團隊仍將以Weta FX的名義獨立運營，預計將成為Unity在媒體和娛樂領域的最大客戶。Weta FX將從Unity獲得技術和工具許可，簽署價值5000萬美元的年度協議和商業服務合同。Unity股價今年上漲約12%，消息公布后，盤后交易下跌8%。（路透社）[2021/11/10 6:43:28]

2015年3月28日，GitHub經歷了史上最大規模的DDoS攻擊，連續兩天使用“一種復雜的新技術來劫持無關用戶的瀏覽器對我們的網站發起大量流量”。

難道這次又雙叒叕是黑客DDoS攻擊？

不，這次竟是程序員缺乏基本的安全意識造成的：明文存儲密碼。

體育競賽平臺dotmoovs融資84萬美元，Spark Digital Capital等參投:dotmoovs宣布獲得84萬美元投資，Moonrock Capital、Morningstar Ventures、Spark Digital Capital、Ascensive Assets、Rarestone、Building Blocks、AU21、GBV Capital參投。

據悉，dotmoovs是基于區塊鏈和AI系統的點對點（P2P）競賽平臺，用于分析運動員進行體育挑戰的視頻。[2021/5/13 21:58:01]

據GitLab安全總監KathyWang回應道，“我們根據StefanGabos昨天提交的贖金票確定了信息來源，并立即開始調查該問題。我們已經確定了受影響的用戶帳戶，并通知到這些用戶。根據調查發現，我們有強有力的證據表明，被泄露的帳戶在部署相關存儲庫時，其帳戶密碼是以明文形式來存儲。我們強烈建議使用密碼管理工具以更安全的方式存儲密碼，并且有條件的話，啟用雙因素身份驗證，這兩種方法都可以避免此問題發生。”

動態 | GitHub禁令或不利于伊朗區塊鏈開發者，人們對比特幣業務的興趣仍有所增長:近日GitHub開始限制識別和禁止伊朗賬戶，區塊鏈開發者無法參與包括私有倉庫或為商業風險投資提供付費服務的軟件項目。 Behkame CTO Behrad Khodayar稱，“各地公司正在開發的大多數嚴肅加密貨幣/區塊鏈項目托管在私有倉庫。對于來自被禁國家的開發者來說，GitHub的限制將對其職業生涯以及他們是否能加入這樣的世界級公司產生重大影響。”一些限制被錯誤應用于居住在歐洲或北美的伊朗僑民。遠程協作服務也是如此，2018年12月，Slack限制伊朗開發者參與全球網絡的能力。 GitHub發言人稱，在這些國家或地區，某些GitHub服務可能適用于免費的個人和組織GitHub.com帳戶，僅用于個人通信，不用于商業目的。 已有加密項目受影響。Khodayar稱其團隊無法使用TradingView代碼繪制即將進行的交易圖表和技術指標。Khodayar曾使用LocalBitcoins買賣加密貨幣。今年5月，該服務開始禁止伊朗用戶。消息人士稱，一些比特幣交易員仍使用該網站，在其他國家的頁面下發布報價。伊朗消息人士，人們對比特幣的興趣有所增長，而不是動搖。[2019/8/7]

幸運的是，根據StackExchange安全論壇的成員發現，黑客實際上并沒有刪除源碼，但是改變了Git的head，這意味著在某些情況下可以恢復代碼提交。

眾多程序員對黑客的行為表示不滿，齊齊去黑客留下的比特幣收貨地址舉報，目前該地址已收到34個舉報：

先別給錢，有免費救命妙招

那么面對被黑客“端了老窩”的程序員，只能雙手奉上贖金嗎？

不，在推特上，開發者社區的大V建議受害者在支付贖金之前先聯系GitHub、GitLab或Bitbucket，因為他們可能有其他方法可以幫助你恢復已刪除的代碼。

一位“遭殃”的開發者先使用命令gitreflog瞅了瞅，能看到他自己所有的提交，所以他猜測黑客很可能沒有克隆存儲庫。

接著他給出嘗試自救的步驟：

1.看到黑客的提交：

gitcheckoutorigin/master

2.看到自己的所有文件：

gitcheckoutmaster

3.將修復origin/master：

gitcheckoutorigin/mastergitreflog#taketheSHAofthelastcommitofyoursgitreset

4.但是查看代碼狀態時：

gitstatus

會發現：

HEADdetachedfromorigin/master

所以還得想別的辦法修復。

接著他還提到，如果你本地有代碼備份的話，直接用就能修復：

gitpushoriginHEAD:master--force

因弱密碼被“祭天”的程序員

據調查，僅在2018年的500多萬個泄漏密碼顯示，有近3%的人使用“123456”作為密碼。

加入我們程序員在企業項目開發里，使用這種弱密碼會有什么危害呢？

2018年8月，華住酒店集團數據庫采用簡單的賬戶名和密碼：root/123456，含達五億條用戶的詳細信息的數據庫遭到泄露。

在互聯網時代，作為開發者尤為具備安全開始的意識。在日常開發中，我們該如何做呢？

可以參照5天6億3000萬數據泄露一文的方案：

在架構和研發過程中要配合安全團隊或綜合考慮信息安全管理要素；

在實際開發過程中要避開常見安全問題，如上傳Github、SQL注入、任意命令執行、緩沖區溢出、水平越權、日志敏感信息記錄、敏感文件任意存放等問題。

在數據泄露事件發生時，開發者應發揮自身的技術和業務優勢，積極配合安全團隊、法務團隊對事件溯源中所涉及到的業務場景和數據證據，提取固化提供支撐，在很多數據泄露事件溯源中開發者都是最有利的技術支撐，比如數據流程梳理、關鍵日志提取等。

開發者在配合過程中需要嚴格注意，避免破壞數據完整性。

再見，123456！

參考：

https://www.zdnet.com/article/a-hacker-is-wiping-git-repositories-and-asking-for-a-ransom/

https://security.stackexchange.com/questions/209448/gitlab-account-hacked-and-repo-wiped

作為碼一代，想教碼二代卻無從下手：

聽說少兒編程很火，可它有哪些好處呢？

孩子多大開始學習比較好呢？又該如何學習呢？

最新的編程教育政策又有哪些呢？

下面給大家介紹CSDN新成員：極客寶寶

戳他了解更多↓↓↓

熱文推薦

?GitHub遭黑客攻擊勒索；蘋果夸大iPhone電池續航時間；全球第二大暗網被摧毀|極客頭條

?Web組件即將取代前端框架？！|技術頭條

?人工智能是6G誕生的關鍵！|極客頭條

?天才程序員：25歲進貝爾實驗室，32歲創建信息論

?華為員工年薪200萬！真相讓人心酸！

?太形象了！什么是邊緣計算？最有趣的解釋沒有之一！

?安全顧問反水成黑客,靠瞎猜盜得5000萬美元的以太幣,一個區塊鏈大盜的另類傳奇

?人造器官新突破！美國科學家3D打印出會“呼吸”的肺|Science

?她說：為啥程序員都特想要機械鍵盤？這答案我服！

System.out.println("點個在看吧！");console.log("點個在看吧！");print("點個在看吧！");printf("點個在看吧！");cout<<"點個在看吧！"<<endl;Console.WriteLine("點個在看吧！");Response.Write("點個在看吧！");alert("點個在看吧！")echo"點個在看吧！"

點擊閱讀原文，輸入關鍵詞，即可搜索您想要的CSDN文章。

你點的每個“在看”，我都認真當成了喜歡

Tags：HUBITHDIGIDIGSoccerHubMonolithdigifinex公司介紹Digital Files

Uniswap