Libretro-fellesskapet utvikler en spillkonsoll-emulator og distribusjonssett for å lage spillkonsoller , om hacking av prosjektinfrastrukturelementer og hærverk i depoter. Angriperne var i stand til å få tilgang til byggeserveren (buildbot) og repositories på GitHub.
På GitHub fikk angripere tilgang til alle Libretro-organisasjon som bruker kontoen til en av de pålitelige prosjektdeltakerne. Angripernes aktivitet var begrenset til hærverk - de forsøkte å tømme innholdet i depotene ved å plassere en tom initial commit. Angrepet utslettet alle depoter som var oppført på tre av de ni Libretro-depotoppføringssidene på Github. Heldigvis ble hærverket blokkert av utviklerne før angriperne nådde nøkkellageret .
På byggeserveren skadet angriperne tjenestene som genererer nattlige og stabile bygg, samt de som var ansvarlige for å organisere (netplay-lobbyen). Ondsinnet aktivitet på serveren var begrenset til å slette innhold. Det var ingen forsøk på å erstatte noen filer eller gjøre endringer i RetroArch-sammenstillinger og hovedpakker. For øyeblikket er arbeidet til Core Installer, Core Updater og Netplay Lobbie, samt nettsteder og tjenester knyttet til disse komponentene (Update Assets, Update Overlays, Update Shaders) forstyrret.
Hovedproblemet prosjektet sto overfor etter hendelsen var mangelen på en automatisert sikkerhetskopieringsprosess. Den siste sikkerhetskopien av buildbot-serveren ble laget for flere måneder siden. Problemene forklares av utviklerne med mangel på penger til et automatisert backupsystem, på grunn av det begrensede budsjettet for vedlikehold av infrastrukturen. Utviklerne har ikke til hensikt å gjenopprette den gamle serveren, men å lansere en ny, hvis opprettelse var i planene. I dette tilfellet vil bygg for primærsystemer som Linux, Windows og Android starte umiddelbart, men bygg for spesialiserte systemer som spillkonsoller og gamle MSVC-bygg vil ta tid å gjenopprette.
Det antas at GitHub, som en tilsvarende forespørsel er sendt til, vil bidra til å gjenopprette innholdet i de rensede depotene og identifisere angriperen. Foreløpig vet vi kun at hacket ble utført fra IP-adressen 54.167.104.253, dvs. Angriperen brukte sannsynligvis en hacket virtuell server i AWS som et mellompunkt. Informasjon om penetreringsmetoden er ikke gitt.
Kilde: opennet.ru