黑客组织Lapsus$成员被捕后回归，再次泄露近70G源代码数据

最近引起极大关注的黑客组织 LAPSUS$ 在入侵了一批国际知名企业，包括微软、英伟达、三星、Okta等，并窃取了大量的核心源代码，勒索这些企业在规定时间内支付赎金，否则将公开这些核心源代码。

几天前，英国伦敦警方逮捕了 7 名 16 至 21 岁的青少年，他们涉嫌与 LAPSUS$ 黑客组织有关联，其中一名 16 岁的牛津少年可能是该组织的主谋，目前尚不清楚该未成年人是否在被捕人员中。据称，该名青少年以 White 或 Breachbase 网络昵称通过黑客攻击积累了价值约 1400 万美元的比特币。

与其它黑客集团不同的是，Lapsus$似乎未曾想要掩饰自己的足迹，该集团经常在社交媒体或通过广告对外收购目标对象的员工凭证，像是ATT、Telefonica、微软、苹果、IBM、Atento、Teleperformance、OVH或Locaweb等。

总之，Lapsus$的第一步就是取得目标组织的有效凭证，除了公开收购之外，也会利用电话社交工程及SIM卡挟持取得员工凭证，或者是搜索公开程序代码存储库中曝光的凭证，甚至是付钱给员工或第三方合作对象以取得凭证。

之后黑客利用这些凭证访问目标组织的网络服务，如VPN、远程桌面协议（RDP）、如Citrix等虚拟桌面基础架构，或是包括Azure Active Directory与Okta的身份认证服务，也会借由期间令牌重播，或是使用所窃取的密码来触发MFA（多因素身份认证）提醒，让合法用户于不经意间批准，以满足多因素身份认证的要求。

被怀疑是Lapsus$黑客组织中的7人在被拘捕一周后被释放，但是针对他们的调查还在继续。在该7人被释放后，Lapsus$黑客组织在他们的Telegram群中表示“我们正式从假期回来了”，随即将他们入侵软件服务公司 Globant 获取的近70G源代码数据公布了出来。

在如下的截图中可以看出，来自世界各地的不同公司的源代码可能都被泄露了，包括 Arcserve、Banco Galicia、BNP Paribas Cardif、Citibanamex、DHL、Facebook、Stifel 等。还共享了一个 torrent 文件，据称包含大约 70GB 的 Globant 源代码以及与该公司的 Atlassian 套件相关的管理员密码，包括 Confluence 和 Jira，以及 Crucible 代码审查工具。

在寻求回应时，Globant 证实了这一事件，称其“最近检测到我们公司代码存储库的有限部分受到未经授权的访问”，并补充说目前正在进行详尽的调查，并采取严格措施防止进一步的事件。

根据我们目前的分析，所访问的信息仅限于为非常有限数量的客户提供的某些源代码和项目相关文档，迄今为止，我们还没有发现任何证据表明我们的基础设施系统或客户的其他领域受到影响。