Violação maciça de configuração do Git expõe 15.000 credenciais; 10.000 repositórios privados clonados
Pesquisadores de segurança cibernética sinalizaram uma campanha “massiva” que visa configurações expostas do Git para desviar credenciais, clonar repositórios privados e até extrair credenciais de nuvem do código-fonte.
Estima-se que a atividade, codinome EMERALDWHALE, tenha coletado mais de 10.000 repositórios privados e armazenado em um bucket de armazenamento do Amazon S3 pertencente a uma vítima anterior. O bucket, que consiste em nada menos que 15.000 credenciais roubadas, já foi retirado pela Amazon.
“As credenciais roubadas pertencem a provedores de serviços em nuvem (CSPs), provedores de e-mail e outros serviços”, disse Sysdig em um relatório. “Phishing e spam parecem ser o objetivo principal de roubar as credenciais.”
Descobriu-se que a operação criminosa multifacetada, embora não sofisticada, aproveita um arsenal de ferramentas privadas para roubar credenciais, bem como raspar arquivos de configuração do Git, arquivos Laravel .env e dados brutos da web. Não foi atribuído a nenhum ator ou grupo de ameaças conhecido.
Visando servidores com arquivos de configuração de repositório Git expostos usando amplos intervalos de endereços IP, o conjunto de ferramentas adotado pelo EMERALDWHALE permite a descoberta de hosts relevantes e extração e validação de credenciais.
Esses tokens roubados são posteriormente usados para clonar repositórios públicos e privados e obter mais credenciais incorporadas ao código-fonte. As informações capturadas são finalmente carregadas no bucket do S3.
Dois programas proeminentes que o agente da ameaça usa para atingir seus objetivos são o MZR V2 e o Seyzo-v2, que são vendidos em mercados clandestinos e são capazes de aceitar uma lista de endereços IP como entradas para verificação e exploração de repositórios Git expostos.
Essas listas são normalmente compiladas usando mecanismos de pesquisa legítimos, como Google Dorks e Shodan, e utilitários de varredura, como o MASSCAN.
Além disso, a análise da Sysdig descobriu que uma lista composta por mais de 67.000 URLs com o caminho “/.git/config” exposto está sendo colocada à venda via Telegram por US$ 100, sinalizando que existe um mercado para arquivos de configuração do Git.
“O EMERALDWHALE, além de direcionar arquivos de configuração do Git, também visava arquivos de ambiente Laravel expostos”, disse o pesquisador da Sysdig, Miguel Hernández. “Os arquivos .env contêm uma grande variedade de credenciais, incluindo provedores de serviços em nuvem e bancos de dados.”
“O mercado clandestino de credenciais está crescendo, especialmente para serviços em nuvem. Este ataque mostra que o gerenciamento secreto por si só não é suficiente para proteger um ambiente.”
Fonte: THN
