Hacker haalt Git-repositories leeg en vraagt om losgeld

Honderden ontwikkelaars zijn het slachtoffer geworden van een hacker die de Git-repositories met broncode heeft leeggehaald en heeft vervangen met een eis om losgeld. De aanvallen lijken gecoördineerd over verschillende hosting-diensten heen, zoals GitHub, Bitbucket en GitLab.

De aanvallen begonnen vrijdag, meldt ZDNet. Het is onduidelijk hoe de aanvallen precies uitgevoerd worden. Wat wel duidelijk is, is dat de hacker alle broncode en recente commits verwijderd heeft uit de Git-repositories van gebruikers. Daarna wordt een briefje achtergelaten waarin gevraagd wordt om een betaling van 0,1 bitcoin, wat neerkomt op ongeveer 570 dollar.

De hacker claimt dat de broncode gedownload is naar en opgeslagen is op één van zijn servers en geeft het slachtoffer tien dagen om het losgeld te betalen. Doet het slachtoffer dat niet, dan maakt de hacker de broncode openbaar, zo dreigt hij. Volgens een zoekopdracht op GitHub zijn in ieder geval 392 GitHub-repositories het slachtoffer geworden van de aanval.

Zwakke wachtwoorden

Kathy Wang, directeur van beveiliging bij GitLab, stelt dat het probleem ontstaan is door een gecompromitteerde account dat een gebruiker eerder op vrijdag op StackExchange meldde. “We hebben aangetaste gebruikersaccounts geïdentificeerd en al die gebruikers zijn op de hoogte gesteld. Als gevolg van ons onderzoek hebben we sterk bewijs dat de wachtwoorden van gecompromitteerde accounts als plaintext opgeslagen staan op een deployment van een gerelateerde repository.”

GitLab zegt gebruikers dan ook aan te raden om een wachtwoordmanager te gebruiken en tweestapsverificatie in te stellen. “Beide zouden dit probleem hebben voorkomen”, aldus Wang.

Atlassian, het bedrijf achter Bitbucket, is ook begonnen met het op de hoogte stellen van klanten wiens accounts overgenomen zijn door hackers. Daarnaast worden er beveiligingsalarmen verstuurd naar accounts waar gefaalde login-pogingen hebben plaatsgevonden.

Terughalen gegevens

Leden van het StackExchange Security-forum hebben inmiddels ontdekt dat de hacker de commit headers niet daadwerkelijk verwijderd, maar ze alleen aanpast. Dit betekent dat in sommige gevallen code commits hersteld kunnen worden. Instructies daarvoor zijn op het forum gedeeld.

Mogelijk zijn ook private Git-repositories het slachtoffer geworden van de aanval. Dat zorgt waarschijnlijk voor langlopende onderzoeken bij bedrijven van wie de eigen code op een remote server terecht is gekomen.