Некоторые жертвы атаки признаются, что использовали ненадёжные пароли или забыли удалить токены доступа из старых приложений. Некоторые считают (пока это лишь домыслы и гипотеза ещё не подтверждена), что причиной утечки учётных данных стала компрометация приложения SourceTree, предоставляющего GUI для работы с Git из macOS и Windows. В марте в SourceTree было выявлено несколько критических уязвимостей, позволяющих удалённо организовать выполнение кода при обращении к подконтрольным злоумышленнику репозиториям.
Для восстановления репозитория после атаки достаточно выполнить «git checkout origin/master», после чего узнать через «git reflog» хэш SHA своего последнего коммита и сбросить изменения атакующих командой «git reset {SHA}». При наличии локальной копии проблема решается выполнением «git push origin HEAD:master —force».
Дополнение: GitHub, GitLab и Bitbucket опубликовали совместный отчёт с анализом инцидента. Основной причиной захвата репозиториев стало включение пользователями в публичные репозитории или размещение на web-серверах конфигурационных файлов «.git/config», содержащих ключи доступа или параметры аутентификации в сервисах.
Источник: http://www.opennet.ru/opennews/art.shtml?num=50671