Verso le 6:00 di lunedì 17 agosto, il team di sviluppo del progetto LibRetro ha subito un attacco da parte di un hacker non identificato, risultato nella compromissione dell’infrastruttura principale dove erano preservati i progetti del team.
Obiettivo dell’attacco è stato il profilo GitHub del progetto, il quale si è visto cancellare in poche ore 3 delle 9 pagine di repositories pubblicate, in seguito alla compromissione di un account appartenente al team di sviluppo. Secondo il changelog, il membro dell’organizzazione avrebbe forzato il caricamento di un commit totalmente vuoto sulla maggior parte dei progetti, risultando così nella sovrascrittura di numerosi asset.
Si sospetta che questo account abbia subito un furto di credenziali potenzialmente favorito dall’assenza di doppio fattore di autenticazione (2FA).
Successivamente, è stato preso di mira anche il loro server Buildbot, compromettendo irreparabilmente le release stabili e ad accesso anticipato dei progetti.
Il team ha immediatamente bloccato la possibilità di aggiornare i core Libretro, impedendo così agli utenti di danneggiare eventualmente i sistemi.
Il team ha giustamente sottolineato che, essendosi trattato di una cancellazione dei file, la sicurezza delle librerie non è stata in alcun modo compromessa, pertanto eventuali aggiornamenti o installazioni attuali sono da reputare sicuri.
Ovviamente, trattandosi di un progetto indipendente e fortemente supportato dalla sola comunità di utenti, la vicinanza al team di sviluppo non si è fatta attendere.
Il motivo
Tra gli utenti è saltato fuori il sospetto che qualche purista del retrogaming su console possa essersi sentito in bisogno di proteggere i suoi ideali in questo modo…
Le teorie non si sono fermate: qualcuno ha ipotizzato che il responsabile potesse essere un membro del team che avrebbe agito in virtù di conflitti personali o ideologici all’interno del gruppo.
L’attaccante
Non si hanno informazioni né rivendicazioni di questo attacco. L’unica informazione che il team è riuscito ad ottenere è un indirizzo IP appartenente alla rete Amazon AWS, 54.167.104.253
.
Su diverse fonti OSINT non risultano attività pregresse associate a questo indirizzo, perciò la strada per una investigazione porta ad un apparente binario morto.
GitHub non ha collaborato 🙁
Stando a quanto riportato dal team su Twitter, la piattaforma GitHub non sarebbe stata in grado di fare il rollback delle repositories, lasciando i ragazzi in balia di un ripristino interamente manuale.
Tutto è bene quel che finisce bene
Sembra che attualmente (circa 15 ore dopo l’incidente) sia tornato tutto alla normalità.
Il servizio di aggiornamento è tornato operativo, eccezion fatta per il server Buildbot, il quale è stato deciso di lasciarlo al momento in stallo.