Git ransom: attenzione all’uso dei token

Ad inizio maggio un nuovo tipo di ransomware ha iniziato a diffondersi nelle varie piattaforme di code sharing come GitHub, GitLab e Atlassian Bitbucket.

Numerosi utenti hanno infatti trovato, al posto del proprio codice, una richiesta di riscatto che chiedeva un pagamento in Bitcoin per riottenere l’accesso al progetto precedentemente ospitato sul repository.

Secondo i team di sicurezza delle tre piattaforme interessate si è trattato di un attacco su vasta scala, eseguito grazie al furto di numerose credenziali d’accesso. Gli attaccanti infatti hanno sfruttato password e username completamente legittime per eseguire l’accesso ai repository e successivamente sostituire il codice presente al loro interno con un ransomware.

Nello stesso modo veniva anche azzerata la cronologia del progetto in modo da renderlo irrecuperabile per l’utente. Gli attacchi hanno avuto origine da un singolo hosting provider, non specificato dal comunicato stampa delle tre piattaforme, dove sono state ritrovati i file con le credenziali rubate.

GitHub, GitLab ed Atlassian Bitbucket hanno quindi invitato tutti gli utenti a porre maggiore attenzione nel gestire i metodi usati per conservare le proprie credenziali. I team di sicurezza delle tre aziende consigliano inoltre di attivare sempre la verifica in due fattori per il proprio account e di impostare password robuste e diverse per ogni servizio utilizzato.

E’ poi sempre buona norma verificare accuratamente le autorizzazioni concesse ai vari servizi, sopratutto quelle che prevedono l’accesso ai nostri dati. Gli utenti infatti sono spesso inconsapevoli dei rischi associati all’uso degli access token con le applicazioni di terze parti. Tali token possono bypassare la verifica a due fattori e se cadono nelle mani sbagliate si trasformano in veri e propri cavalli di troia.

Via The GitHub Blog