Gentoo Linux官方發文說明了GitHub帳號被駭事件。6月28日駭客取得Gentoo Linux在GitHub上的管理員帳戶控制權,在刪除其他Gentoo開發人員的存取權限後,對上面的程式碼內容大改特改,Gentoo在察覺到事件發生後,緊急要求GitHub支援,並且暫時凍結Gentoo的GitHub帳號,官方奪回帳號控制權後,才得以修正被惡意程式碼污染的內容。

在6月28日晚上,Gentoo開發者Francisco Blas Izquierdo Riera發出警告,他注意到官方的GitHub帳號遭到控制,Gentoo在GitHub上的套件管理系統Portage以及musl-dev trees被以惡意版本的ebuild置換,且駭客試圖移除開發人員貢獻的內容。而他提到,雖然駭客置換了惡意程式碼,卻無法達成想要的目的,但是Gentoo使用者仍不應該使用在6月28日以前GitHub鏡像上的ebuild。

Gentoo Linux由於受惠其套件管理系統Portage的彈性,被形容為擁有幾乎無限制的適應性,而且跟許多GNU/Linux不一樣,Gentoo Linux釋出了大量的程式原始碼,讓使用者可以重新編譯作業系統的每一個部分。ebuild則是Portage的基礎,本身是一個純文字檔案,上面記述Portage需要下載的檔案、該套件執行的平臺以及編譯方法等,每一個ebuild都對應一個套件。而GitHub則是Gentoo的其中一個程式碼鏡像來源。

官方盤點了GitHub帳號遭到駭客入侵受到的影響,最直接的就是有5天Gentoo使用者皆無法使用GitHub,而且合併請求(Pull Request)持續整合失效,只有主節點可以被用來測試問題,而且由於不少Gentoo的代理維護者專案(Proxy Maintainers Project)貢獻者都透過GitHub提交合併請求,因此那些專案皆受影響。當時駭客試圖遠端抹除使用者在不同程式碼儲存庫的內容,但因為有多重保護措施而失敗。官方提到,不受影響的使用者在駭客入侵的當下仍然持續進行內容貢獻,發生了超過700次的提交。

較嚴重的影響是,所有過去的合併請求都從原本的提交中斷且關閉,Gentoo官方正在與GitHub聯繫,確認這些損失可否修復。官方提到,駭客因為有管理員密碼所以獲得存取權限,而收集來的密碼結構證據暗示著,應該是有網站的資訊洩漏,導致其他不相關的網頁密碼容易被猜到。

入侵事件過後即便官方GitHub服務重新上線,還是有一些問題存在,他們提到,由於這是第一次發生類似的事件,現在仍缺乏明確的指導方針,在第一時間告訴使用者如何驗證他們的程式碼是否受到汙染,另外,他們也沒有Gentoo GitHub組織的細節備份,而且systemd repo不是Gentoo的鏡像內容,而是直接存儲在GitHub上的。他們發現,GitHub無法透過git阻止存取儲存庫,導致事件發生時,惡意提交的內容會一直被外部存取。

最後官方也還是提醒使用者,在事件發生期間,從GitHub複製下來的內容可能皆存在惡意內容,建議重新創建,包括gentoo/gentoo、gentoo/musl與gentoo/systemd。他們也說,好險當時駭客將所有開發人員從專案中刪除,導致大家都收到了電子郵件通知,使得他們可以立即做出反應,如果當時駭客安靜的攻擊,就可能會有更多的時間搞破壞。


Advertisement

更多 iThome相關內容