«

大规模 Git 配置泄露,15,000 个凭证被泄露;10,000 个私人存储库被克隆

时间:2024-11-2 19:47     作者:之参博客     分类: 网络相关



网络安全研究人员发现了一场“大规模”活动,该活动针对暴露的 Git 配置来窃取凭证、克隆私有存储库,甚至从源代码中提取云凭证。

据估计,该活动代号为EMERALDWHALE,收集了超过 10,000 个私人存储库,并存储在属于先前受害者的 Amazon S3 存储桶中。该存储桶包含不少于 15,000 个被盗凭证,现已被亚马逊关闭。

Sysdig 在一份报告中称: “被盗凭证属于云服务提供商 (CSP)、电子邮件提供商和其他服务。网络钓鱼和垃圾邮件似乎是窃取凭证的主要目标。”

这项多面犯罪活动虽然并不复杂,但已发现其利用大量私人工具窃取凭证以及抓取 Git 配置文件、Laravel .env 文件和原始网络数据。目前尚未发现任何已知威胁行为者或组织实施了该活动。

EMERALDWHALE 采用的工具集针对使用广泛 IP 地址范围的暴露 Git 存储库配置文件的服务器,允许发现相关主机并提取和验证凭证。

这些被盗的令牌随后被用来克隆公共和私有存储库,并获取源代码中嵌入的更多凭证。捕获的信息最终被上传到 S3 存储桶。

威胁行为者用来实现其目标的两个主要程序是 MZR V2 和 Seyzo-v2,它们在地下市场上出售,并且能够接受 IP 地址列表作为输入,以扫描和利用暴露的 Git 存储库。

这些列表通常使用合法搜索引擎(例如 Google Dorks 和 Shodan)以及扫描实用程序(例如MASSCAN)编制。

此外,Sysdig 的分析发现,一份包含超过 67,000 个 URL 的列表,其中暴露了路径“/.git/config”,正在通过 Telegram 以 100 美元的价格出售,这表明 Git 配置文件存在市场。

Sysdig 研究员 Miguel Hernández 表示:“EMERALDWHALE 除了针对 Git 配置文件外,还针对暴露的 Laravel 环境文件。.env 文件包含大量凭证,包括云服务提供商和数据库。”

“凭证的地下市场正在蓬勃发展,尤其是云服务。这次攻击表明,单靠秘密管理不足以确保环境的安全。”

标签: Git 泄露