Społeczność Libretro opracowuje emulator konsoli do gier oraz zestaw dystrybucyjny do tworzenia konsol do gier , o włamaniach do elementów infrastruktury projektu i wandalizmie w repozytoriach. Atakującym udało się uzyskać dostęp do serwera kompilacji (buildbot) i repozytoriów w serwisie GitHub.
Na GitHubie napastnicy uzyskali dostęp do wszystkich Organizacja Libretro korzystająca z konta jednego z zaufanych uczestników projektu. Działalność atakujących ograniczała się do wandalizmu - próbowali wyczyścić zawartość repozytoriów poprzez umieszczenie pustego zatwierdzenia początkowego. Atak zniszczył wszystkie repozytoria wymienione na trzech z dziewięciu stron z listą repozytoriów Libretro w Githubie. Na szczęście akt wandalizmu został zablokowany przez twórców, zanim napastnicy dotarli do repozytorium kluczy .
Na serwerze kompilacji napastnicy uszkodzili usługi generujące nocne i stabilne kompilacje, a także te odpowiedzialne za organizację (lobby gry sieciowej). Złośliwa aktywność na serwerze ograniczała się do usuwania treści. Nie było żadnych prób zamiany jakichkolwiek plików ani wprowadzenia zmian w zespołach RetroArch i głównych pakietach. Obecnie praca Core Installer, Core Updater i Netplay Lobbie, a także witryn i usług powiązanych z tymi komponentami (Update Assets, Update Overlays, Update Shaders) jest zakłócona.
Głównym problemem, z jakim borykał się projekt po incydencie, był brak zautomatyzowanego procesu tworzenia kopii zapasowych. Ostatnia kopia zapasowa serwera buildbota została wykonana kilka miesięcy temu. Problemy twórcy tłumaczą brakiem pieniędzy na zautomatyzowany system tworzenia kopii zapasowych, wynikającym z ograniczonego budżetu na utrzymanie infrastruktury. Twórcy nie zamierzają przywracać starego serwera, ale uruchomić nowy, którego utworzenie było w planach. W takim przypadku kompilacje dla systemów podstawowych, takich jak Linux, Windows i Android, rozpoczną się natychmiast, ale przywrócenie kompilacji dla systemów specjalistycznych, takich jak konsole do gier i stare kompilacje MSVC będzie wymagało czasu.
Zakłada się, że GitHub, do którego wysłano odpowiednie żądanie, pomoże przywrócić zawartość wyczyszczonych repozytoriów i zidentyfikować atakującego. Na razie wiemy tylko, że włamania dokonano z adresu IP 54.167.104.253, tj. Osoba atakująca prawdopodobnie jako punkt pośredni wykorzystała zhakowany serwer wirtualny w AWS. Nie podano informacji o sposobie penetracji.
Źródło: opennet.ru