Un hacker vide des centaines de dépôts privés Git et demande une rançon aux devs

@journalduhack

Un hacker s’est introduit dans des dépôts privés de code, les a effacés et a demandé une rançon à leurs propriétaires pour restaurer leurs projets. Le hacker s’est attaqué aux référentiels de code hébergés sur GitHub, l’une des plus grandes plateformes de développement logiciel au monde, et BitBucket, un service similaire appartenant à Atlassian.

L’attaque a touché au moins 392 dépôts différents de Github et les a remplacé par une note de rançon : « Pour récupérer votre code perdu et éviter toute fuite: envoyez-nous 0,1 bitcoin (BTC) à notre adresse bitcoin 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA et contactez-nous par email à admin@gitsbackup.com avec votre identifiant Git et une preuve de paiement. Si vous n’êtes pas persuadés que nous avons vos données, contactez-nous et nous vous enverrons une preuve. Votre code est téléchargé et sauvegardé sur nos serveurs. Si nous ne recevons pas votre paiement dans les 10 prochains jours, nous rendrons votre code public ou l’utiliserons autrement ».

L’attaque a commencé il y a environ un jour et a également touché des référentiels de code sur des services similaires, Bitbucket et GitLab. Une victime a supposé que le pirate informatique s’était introduit dans son compte en devinant le mot de passe.

« Mon mot de passe était faible et aurait pu être facilement déchiffré par la force brute », a déclaré la victime dans un message publié sur le site de questions-réponses Stack Exchange. « Il est également possible que mon adresse e-mail et ce mot de passe figurent sur une liste de comptes ayant fait l’objet d’une fuite ».

Si Github n’a pas encore fait de commentaire, Jeremy Galloway, un chercheur en sécurité chez Atlassian, qui possède Bitbucket, a déclaré qu’il estime que 1 000 utilisateurs auraient pu être touchés lors des attaques. Il s’est appuyé sur des statistiques qui ont circulé en interne et des rapports en ligne.

Dans un avis de sécurité envoyé vendredi, Bitbucket a déclaré que le hacker avait pénétré dans les comptes compromis en entrant le nom d’utilisateur et le mot de passe corrects. « Nous pensons que ces informations d’identification ont peut-être été divulguées via un autre service, alors que d’autres services d’hébergement git subissent une attaque similaire », et de préciser « Nous n’avons détecté aucun autre compromis de Bitbucket ».

Kathy Wang, directrice de la sécurité chez GitLab, a déclaré : « Nous disposons de preuves solides que les mots de passe des comptes compromis sont stockés en texte clair lors du déploiement d’un référentiel associé. Nous encourageons vivement l’utilisation d’outils de gestion des mots de passe afin de stocker les mots de passe de manière plus sécurisée ».

Selon la note de rançon, les victimes ne disposent que de 10 jours pour payer 0,1 bitcoin (509 euros). Sinon, le pirate rendra public le code volé ou l’utilisera à ses propres fins. Actuellement, l’adresse Bitcoin du pirate reste essentiellement vide.

Les ransomware, un type d’attaque par lequel des pirates informatiques infectent des ordinateurs, chiffrent leur contenu et demandent de l’argent en échange d’une clé de déchiffrement permettant de restaurer leurs données existe depuis des décennies. Cette nouvelle attaque est un peu différente, bien qu’il n’est pas évident de savoir quel « succès » elle pourrait rencontrer étant donné qu’une victime a déclaré avoir trouvé le moyen de récupérer son code source sans avoir à payer la rançon. Il semble donc que le hacker n’ait peut-être pas complètement effacé le code des référentiels ciblés puisque la victime affirme avoir réussi à récupérer le code en « accédant à un hachage de validation ».

Bitbucket informe également les utilisateurs concernés de son projet de restauration de leurs référentiels de code dans les prochaines 24 heures. En outre, la plateforme réinitialise les mots de passe des utilisateurs des comptes compromis et recommande d’activer l’authentification à deux facteurs pour une meilleure protection.

Source : Stack Exchange

Share This Article
Leave a Comment