По предварительным данным ИБ-экспертов, речь идет об автоматизированной атаке методом Credential Stuffing (подбор паролей через слитые базы) или через компрометацию устаревших токенов доступа (OAuth). Массового взлома самой инфраструктуры GitHub не зафиксировано.
Преступники требуют фиксированную сумму в $50 тысяч. Выплата должна быть произведена в конфиденциальной криптовалюте Monero (XMR) или Bitcoin (BTC) на указанный в readme-файлах кошелек.
Атака затронула преимущественно публичные и приватные проекты независимых разработчиков и небольших команд, у которых не была включена двухфакторная аутентификация (2FA). Крупные enterprise-клиенты используют SSO и жесткие политики безопасности, поэтому их код в безопасности.
Службы безопасности и ИБ-специалисты категорически не рекомендуют платить вымогателям. Нет никаких гарантий, что хакеры вернут код. Вместо этого необходимо немедленно развернуть локальную копию проекта из Git-истории на ПК и сменить все ключи доступа.
Администрация GitHub уже изолировала скомпрометированные учетные записи и запустила процедуру принудительного сброса токенов. Команда техподдержки восстанавливает удаленные ветки из внутренних бэкапов системы контроля версий.
Каждый день отслеживаем ключевые новости технологий, гаджетов и ИИ, отбирая только то, что действительно важно читателю.
Популярный сервис GitHub атаковала группа хакеров-вымогателей, которая нацелилась на аккаунты беспечных разработчиков. Используя уязвимости в защите профилей без двухфакторной аутентификации, бот-сеть стерла или скрыла более 4000 репозиториев. Теперь за возвращение исходного кода преступники требуют скромные по меркам индустрии $50 тысяч. Представители платформы уже вмешались в ситуацию: платить никому не нужно, так как архитектура Git позволяет восстановить данные из локальных копий и внутренних бэкапов.
Утро тысяч программистов по всему миру началось не с кофе, а с пугающего сообщения в их проектах. На GitHub разворачивается масштабная драма: неизвестные киберпреступники заблокировали доступ к тысячам исходных кодов и выставили ультиматум. Вместо привычных файлов в репозиториях теперь красуется один-единственный текстовый файл с требованием выкупа.
Нынешний инцидент - яркий пример того, как автоматизация работает на руку злоумышленникам. Хакеры не ломали сервера Microsoft (владельца GitHub) напрямую. Вместо этого они запустили скрипт, который сканировал платформу на предмет слабых паролей и утекших в сеть OAuth-токенов.
«Программа-вымогатель за секунды очищает репозиторий, меняет название главной ветки и оставляет файл README.md с инструкциями по оплате. Это классический кибершантаж, поставленный на конвейер», - комментируют ситуацию эксперты по безопасности.
Общая сумма требований составляет $50 тысяч. С одной стороны, цифра кажется небольшой для ИТ-гиганта. С другой - хакеры бьют не по Microsoft, а по конкретным авторам проектов, надеясь, что кто-то запаникует и переведет криптовалюту ради спасения многолетней работы.
Давайте разберем параметры текущей угрозы и то, как должна быть настроена безопасность вашей среды разработки в 2026 году:
| Параметр безопасности | Текущая ситуация / Требования | Статус уязвимости |
|---|---|---|
| Количество пострадавших | Около 4000 уникальных репозиториев индивидуальных разработчиков. | Критично |
| Двухфакторная аутентификация (2FA) | Обязательное требование GitHub. Все взломанные аккаунты игнорировали это правило. | Безопасно |
| Сохранность серверов GitHub | Ядро платформы и базы данных Microsoft не скомпрометированы. | Безопасно |
| Офлайн-копии кода (Локальный Git) | Наличие актуального локального клона репозитория на машине разработчика. | Восстановимо |
Паниковать точно не стоит. Главная прелесть архитектуры Git заключается в ее децентрализации. Если проект лежал у вас на жестком диске ноутбука, то у вас есть полная копия истории разработки. Достаточно дождаться, пока техподдержка GitHub вернет контроль над учетной записью, сбросить все сессии, включить 2FA и сделать банальный push кода обратно на сервер.
Подписывайтесь, чтобы не пропустить свежие новости!
NVIDIA переворачивает рынок портативных ПК, представляя ARM-процессоры линейки RTX Spark. Новые чипы объединяют энергоэффективную архитектуру и графическую производительность уровня дискретной мобильной RTX 5070. Эпоха доминирования классических x86-систем в мощных Windows-ноутбуках получает мощнейший вызов.
NVIDIA представила DGX Station for Windows - первый настольный суперкомпьютер на базе чипа GB300 Grace Blackwell Ultra. Устройство стирает грань между сервером и ПК, позволяя локально запускать ИИ-модели на 1 триллион параметров и оркестрировать сотни автономных агентов. Разбираем архитектуру новинки, интеграцию с ОС от Microsoft и перспективы для рынка.
Китайские производители аксессуаров в очередной раз опередили официальный анонс Apple, запустив в продажу чехлы для первого складного iPhone. Судя по утекшим чертежам и готовым кейсам, грядущая новинка получит форм-фактор "раскладушки" в стиле линейки Galaxy Flip и огромный внешний экран, занимающий почти всю верхнюю половину. Эксперты отмечают, что подобные утечки от фабрик из Китая исторически подтверждаются в 90% случаев.