Een ‘hacker’ haalt Git-repositories leeg en vraagt om losgeld

De aanvaller heeft zich ‘ontfermd’ over repositories van diverse diensten, zoals GitHub, Bitbucket, en GitLab. Dat begon afgelopen vrijdag, volgens ZDNet.

Naar verluidt verwijdert de hacker alle broncode en recente commits (gelabelde aanpassingen aan de broncode). Daarna wordt een melding achtergelaten waarin ‘gevraagd’ wordt om een betaling van 0,1 bitcoin. Een snelle zoekopdracht op GitHub wijst uit dat er op dat platform zo’n 300 repositories geraakt zijn. 

Slecht wachtwoordbeleid

Volgens Kathy Wang, directeur bij GitLab, is de aanval mogelijk gemaakt door slecht wachtwoordbeleid. “Als gevolg van ons onderzoek hebben we sterk bewijs dat de wachtwoorden van gecompromitteerde accounts als plaintext opgeslagen staan op een deployment van een gerelateerde repository,” schrijft Wang.

Alle eigenaars van GitLab-accounts die geraakt lijken zijn inmiddels op de hoogte gesteld. Ook Atlassian, het bedrijf achter Bitbucket, heeft soortgelijke stappen ondernomen.

Twijfelachtige poging

Een prangende vraag is nog waarom er zoveel moeite is gestoken in deze vorm van ‘ransomware’. Het punt van Git is dat het een gedistribueerd versiebeheersysteem. Met andere woorden: er zijn mensen met lokale kopieën van de broncode. Daarnaast treft de hacker een doelgroep die op z’n minst ‘handig met computers’ te noemen is.

Op StackExchange verschenen al snel berichten met daarin methoden om onder de hack uit te komen. In feite is er enkel een probleem als er nergens een lokale kopie is van de broncode. Een situatie die in de context van Git zeer ongebruikelijk is. In alle andere gevallen is de broncode relatief eenvoudig terug te halen.

Zoals verwacht is het Bitcoin-adres waar het losgeld op gestort moet worden nog nagenoeg leeg. Een ‘hack’ waarvan de impact op z’n minst twijfelachtig is te noemen.