HUB:GitHub 告急 黑客威胁程序员不交钱就删库_STE

作者|伍杏玲

出品|CSDN

5月3日，当中国程序员正愉快地过五一节时，国外程序员突然发现自己GitHub上的代码不翼而飞！自己的GitHub一秒变成悬疑片现场，不仅被黑客攻击删代码了，嚣张的黑客还留下一封勒索信：

如果你要恢复丢失的代码和避免我们泄漏代码：需要先支付0.1个比特币到这个地址：1ES14C7QLB5cyhlmuektxlgc1f2v2ti9da，再将Git登录名和支付证明发送到这个邮箱里。

如果你不相信我们是否真的有你的数据，我们可以向你发送证据。你的代码我们已下载并备份到服务器上。

如果我们在10天内没有收到钱，我们将公开你的代码或乱使用它们。

不仅是GitHub被黑客攻击，据ZDNet报道，还有Bitbucket、GitLab也遭受同样的攻击。

这究竟是发生了什么事呢？

黑客攻击勒索的惊魂记

一程序员在Reddit发帖讲述其遭遇黑客攻击被勒索的过程：当他修复一个Bug正要用SourceTree提交，当点击提交按钮时，电脑死机了。因为他的电脑经常会死机，所以他一开始没有察觉到异常。可当他重启动电脑后，SourceTree崩溃了，并提示重新安装。重新安装后，他又发现一个问题：Git索引文件损坏了！于是他在网上找了个简单的命令来修复程序。他先是删除了索引，然后点击重置。

美上市公司ARAX将以1800万欧元收购DeFi开发商Core Business75%股份:12月15日消息，上市公司ARAX Holding已宣布完成一项具有约束力的意向书和交易条款，以收购Core Blockchain背后的DeFi和dApp开发商Core Business Holding公司75%的股份，ARAX还将收购Core少数股权，总交易价值达到1800万欧元。根据交割要求，本次收购交易预计将在未来两个月内完成。

据悉，本次收购还涉及部分项目的知识产权，包括：Core Token和智能合约平台、Ping交易和结算平台、Wall Money NEO银行和金融科技SaaS平台、以及CorePay支付和汇款平台。（Cryptoslate）[2022/12/15 21:46:22]

然后他发现他落后了超3200个Commits！这时他这才停下来看看自己最近提交的内容，代码全没了！整个项目仅剩下一个上述勒索信的文件！他还看了下Bitbucket，所有的远程分支都不见了！

这不仅是个别用户，截至发稿，在GitHub搜索比特币地址，还有326个被黑的项目。

动态 | HBUS聘请Draper Athena前执行官担任企业发展副总裁:据Cointelegraph报道，HBUS已聘请风险投资公司Draper Athena的前执行官Jay Ryu担任企业发展副总裁。根据新闻稿，Ryu在Draper Athena担任风险投资总监七年，领导硅谷、亚洲和中东地区的技术投资。除了Draper Athena之外，他还是投资咨询集团Rage Partners的创始人，以及Checkmate Capital的前管理合伙人和战略顾问。[2018/11/14]

又是DDoS攻击？

这不是第一次GitHub遭遇黑客攻击了：

2018年2月28日，GitHub遭到峰值攻击流量高达1.35Tbps的DDoS攻击，导致官网在一小段时间内无法访问。

2015年3月28日，GitHub经历了史上最大规模的DDoS攻击，连续两天使用“一种复杂的新技术来劫持无关用户的浏览器对我们的网站发起大量流量”。

难道这次又双叒叕是黑客DDoS攻击？

瑞银集团的首席信息官Oliver Bussmann：2018年的区块链发展的预测:2013至2016年担任瑞银集团的首席信息官，创办了Bussmann Advisory咨询公司，且是IOTA、Deon Digital和 Tend的战略顾问Oliver Bussmann，他对于2018年的区块链发展的预测如下：

区块链解决方案将继续投入生产，因为“容易实现的目标”已经实现。

由传统的资产管理参与者和技术推动，加密货币将继续增长。

区块链开始改变市场结构，企业也会关注其商业模式的改变。

具有智能合约技术的新生态系统将成为现有产业之间的整合平台。

募资方式将“专业化”，并转变为IPO 2.0。

区块链的可扩展性和性能将成为一个重要问题，并且会出现有趣的新方法。

人们会越来越认识到，当地的区块链生态系统是一个重要的成功因素。[2017/12/14]

不，这次竟是程序员缺乏基本的安全意识造成的：明文存储密码。

据GitLab安全总监KathyWang回应道，“我们根据StefanGabos昨天提交的赎金票确定了信息来源，并立即开始调查该问题。我们已经确定了受影响的用户帐户，并通知到这些用户。根据调查发现，我们有强有力的证据表明，被泄露的帐户在部署相关存储库时，其帐户密码是以明文形式来存储。我们强烈建议使用密码管理工具以更安全的方式存储密码，并且有条件的话，启用双因素身份验证，这两种方法都可以避免此问题发生。”

Bequant与Global Digital Finance合作成立工作组 以为DeFi创建最佳实践:加密经纪商Bequant与Global Digital Finance合作创建工作组，以期为DeFi创建一些最佳实践，努力提高其采用，同时避免繁琐的监管。根据一份新闻稿，两家公司上个月宣布，他们将与Hogan Lovells律师事务所组建一个行业组织，旨在将行业参与者聚集在一起，“为全球的DeFi项目带来信誉和诚信”。

Bequant的研究主管和工作组主席之一Denis Vinokourov称，该小组根植于多年来加密行业的广泛发展。创建一些最佳实践可能有助于确保监管者不必通过清除恶意参与者或减少错误代码的数量来对该领域施加过于严格的规则。（CoinDesk）[2020/12/7 14:27:44]

幸运的是，根据StackExchange安全论坛的成员发现，黑客实际上并没有删除源码，但是改变了Git的head，这意味着在某些情况下可以恢复代码提交。

众多程序员对黑客的行为表示不满，齐齐去黑客留下的比特币收货地址举报，目前该地址已收到34个举报：

声音 | Galaxy Digital首席执行官：比特币在上涨之前会在短期内盘整:前对冲基金经理、加密投资银行Galaxy Digital首席执行官Mike Novogratz表示，他相信比特币已经巩固了其作为价值储存手段的主要用途，并认为比特币在上涨之前会首先在短期内盘整。此外，Novogratz表示，以太坊最有可能成为生态系统的主要基础设施，允许区块链开发人员构建强健的应用程序。当被问及山寨币市场时，Novogratz表示，交易者应该寻找具有强大用例的加密货币，这些用例会产生新闻并具有发展动力。（The Daily Hodl）[2019/10/8]

先别给钱，有免费救命妙招

那么面对被黑客“端了老窝”的程序员，只能双手奉上赎金吗？

不，在推特上，开发者社区的大V建议受害者在支付赎金之前先联系GitHub、GitLab或Bitbucket，因为他们可能有其他方法可以帮助你恢复已删除的代码。

一位“遭殃”的开发者先使用命令gitreflog瞅了瞅，能看到他自己所有的提交，所以他猜测黑客很可能没有克隆存储库。

接着他给出尝试自救的步骤：

1.看到黑客的提交：

gitcheckoutorigin/master

2.看到自己的所有文件：

gitcheckoutmaster

3.将修复origin/master：

gitcheckoutorigin/mastergitreflog#taketheSHAofthelastcommitofyoursgitreset

4.但是查看代码状态时：

gitstatus

会发现：

HEADdetachedfromorigin/master

所以还得想别的办法修复。

接着他还提到，如果你本地有代码备份的话，直接用就能修复：

gitpushoriginHEAD:master--force

因弱密码被“祭天”的程序员

据调查，仅在2018年的500多万个泄漏密码显示，有近3%的人使用“123456”作为密码。

加入我们程序员在企业项目开发里，使用这种弱密码会有什么危害呢？

2018年8月，华住酒店集团数据库采用简单的账户名和密码：root/123456，含达五亿条用户的详细信息的数据库遭到泄露。

在互联网时代，作为开发者尤为具备安全开始的意识。在日常开发中，我们该如何做呢？

可以参照5天6亿3000万数据泄露一文的方案：

在架构和研发过程中要配合安全团队或综合考虑信息安全管理要素；

在实际开发过程中要避开常见安全问题，如上传Github、SQL注入、任意命令执行、缓冲区溢出、水平越权、日志敏感信息记录、敏感文件任意存放等问题。

在数据泄露事件发生时，开发者应发挥自身的技术和业务优势，积极配合安全团队、法务团队对事件溯源中所涉及到的业务场景和数据证据，提取固化提供支撑，在很多数据泄露事件溯源中开发者都是最有利的技术支撑，比如数据流程梳理、关键日志提取等。

开发者在配合过程中需要严格注意，避免破坏数据完整性。

再见，123456！

参考：

https://www.zdnet.com/article/a-hacker-is-wiping-git-repositories-and-asking-for-a-ransom/

https://security.stackexchange.com/questions/209448/gitlab-account-hacked-and-repo-wiped

作为码一代，想教码二代却无从下手：

听说少儿编程很火，可它有哪些好处呢？

孩子多大开始学习比较好呢？又该如何学习呢？

最新的编程教育政策又有哪些呢？

下面给大家介绍CSDN新成员：极客宝宝

戳他了解更多↓↓↓

热文推荐

?GitHub遭黑客攻击勒索；苹果夸大iPhone电池续航时间；全球第二大暗网被摧毁|极客头条

?Web组件即将取代前端框架？！|技术头条

?人工智能是6G诞生的关键！|极客头条

?天才程序员：25岁进贝尔实验室，32岁创建信息论

?华为员工年薪200万！真相让人心酸！

?太形象了！什么是边缘计算？最有趣的解释没有之一！

?安全顾问反水成黑客,靠瞎猜盗得5000万美元的以太币,一个区块链大盗的另类传奇

?人造器官新突破！美国科学家3D打印出会“呼吸”的肺|Science

?她说：为啥程序员都特想要机械键盘？这答案我服！

System.out.println("点个在看吧！");console.log("点个在看吧！");print("点个在看吧！");printf("点个在看吧！");cout<<"点个在看吧！"<<endl;Console.WriteLine("点个在看吧！");Response.Write("点个在看吧！");alert("点个在看吧！")echo"点个在看吧！"

点击阅读原文，输入关键词，即可搜索您想要的CSDN文章。

你点的每个“在看”，我都认真当成了喜欢

标签：ITHHUBSTEASTLithium FinanceLendHubMONSTER价格Astro Dragon

LTC热门资讯