Wściekły haker zbanowany na GitHub i GitLab. Twierdzi, że Microsoft zniszczył mu życie

Internetowe platformy do hostowania kodu zaczęły błyskawicznie odcinać się od jednego z najbardziej kontrowersyjnych badaczy bezpieczeństwa ostatnich miesięcy. Ukrywający się pod pseudonimem Nightmare-Eclipse haker został właśnie zbanowany przez GitLab zaledwie kilka dni po tym, jak wcześniej usunięto go z GitHuba.

To jednak wcale nie zatrzymało rozprzestrzeniania się jego narzędzi. Wręcz przeciwnie, po blokadach kolejne kopie exploitów zaczęły pojawiać się w innych miejscach internetu.

Cała historia coraz bardziej przypomina cyberwojnę między samotnym badaczem a Microsoftem. Problem polega na tym, że publikowane exploity dotyczą w pełni aktualnych wersji Windowsa i pozwalają między innymi przejmować uprawnienia SYSTEM albo omijać szyfrowanie BitLocker.

Sześć exploitów w sześć tygodni

Nightmare-Eclipse pojawił się nagle i błyskawicznie stał się jednym z najgłośniejszych nazwisk w świecie cyberbezpieczeństwa. W ciągu zaledwie sześciu tygodni opublikował sześć działających exploitów dla Windowsa.

Każde narzędzie otrzymało charakterystyczną nazwę przypominającą kryptonim z cyberpunkowego thrillera. BlueHammer pozwalał przejąć najwyższe uprawnienia SYSTEM poprzez lukę w Windows Defenderze. RedSun pojawił się chwilę po załataniu wcześniejszej podatności i ponownie dawał pełną kontrolę nad systemem.

Największe emocje wywołał jednak YellowKey. To exploit pozwalający obejść szyfrowanie BitLocker przy użyciu pamięci USB. Dla wielu ekspertów był to jeden z najbardziej niepokojących publicznych exploitów dotyczących zabezpieczeń Windowsa w ostatnich latach.

Pojawiły się też narzędzia zakłócające działanie Defendera, mechanizmy eskalacji uprawnień oraz exploity wykorzystujące stare błędy, które według autora nigdy nie zostały poprawnie załatane przez Microsoft.

Nightmare-Eclipse staje się lokalnym bohaterem wśród badaczy bezpieczeństwa i osób, które uważają, że firmy technologiczne często źle traktują osoby ujawniające luki w zabezpieczeniach.

Microsoft milczy, internet robi z hakera legendę

Prawdziwa tożsamość Nightmare-Eclipse pozostaje nieznana. Sam autor twierdzi, że publikuje exploity jako formę zemsty na Microsoftcie po konflikcie związanym z wcześniejszą współpracą. Według jego relacji działania firmy miały doprowadzić do osobistych problemów i dramatycznego pogorszenia sytuacji życiowej. To właśnie dlatego badacz zdecydował się na publiczne publikowanie niezałatanych luk typu zero-day. W części społeczności cyberbezpieczeństwa zaczął szybko zyskiwać status antykorporacyjnego symbolu. 

Jednocześnie wielu ekspertów alarmuje, że publikowanie gotowych exploitów bez wcześniejszych poprawek naraża miliony użytkowników Windowsa na realne ataki.

GitHub i GitLab mówią „dość”

23 maja konto hakera usunął GitHub. Nightmare-Eclipse szybko przeniósł swoje repozytoria do GitLab, ale tam również długo nie przetrwał. Już 26 maja konto zostało zablokowane, a wszystkie repozytoria zniknęły z platformy.

To jednak wywołało efekt odwrotny od zamierzonego. W ciągu kilku godzin użytkownicy zaczęli publikować kopie exploitów w innych serwisach, na prywatnych forach i alternatywnych platformach hostujących kod.

Dla części środowiska decyzje GitHuba i GitLaba są sygnałem, że duże platformy coraz agresywniej będą usuwać badaczy publikujących niezałatane luki bezpieczeństwa. Może to doprowadzić do przenoszenia podobnych materiałów do znacznie mniej kontrolowanych części internetu, gdzie monitorowanie zagrożeń stanie się dużo trudniejsze.

Exploity już pojawiają się w prawdziwych atakach

Najbardziej niepokojące jest jednak to, że opublikowane narzędzia nie pozostały wyłącznie internetową sensacją. Administratorzy bezpieczeństwa i zespoły reagowania na incydenty zaczęły już obserwować wykorzystanie exploitów w realnych włamaniach. Publiczne udostępnienie działających exploitów drastycznie obniża próg wejścia dla cyberprzestępców. Nawet mniej zaawansowani atakujący mogą próbować wykorzystywać gotowe narzędzia przeciwko firmowym komputerom i serwerom.

Tajemnicza zapowiedź kolejnego „wydarzenia”

Nightmare-Eclipse nie odniósł się jeszcze publicznie do blokady GitLaba, ale wcześniej sugerował, że kolejne publikacje są już przygotowane. Haker wskazał nawet datę 14 lipca 2026 roku jako możliwy termin następnego dużego ujawnienia. W jednym z wpisów zamieścił wyjątkowo agresywną wiadomość skierowaną do Microsoftu.

Dodatkowe obawy budzi wcześniejsza deklaracja o wdrożeniu „wyłącznika awaryjnego”. Według autora miałby to być mechanizm automatycznie publikujący kolejne exploity, gdyby coś stało się z samym badaczem lub jego infrastrukturą. Na razie nie wiadomo, czy był to jedynie element budowania własnej legendy, czy rzeczywiście przygotowano automatyczny system publikacji nowych luk bezpieczeństwa.