网络安全研究人员发现了一场“大规模”活动，该活动针对暴露的 Git 配置来窃取凭证、克隆私有存储库，甚至从源代码中提取云凭证。

据估计，该活动代号为EMERALDWHALE，收集了超过 10,000 个私人存储库，并存储在属于先前受害者的 Amazon S3 存储桶中。该存储桶包含不少于 15,000 个被盗凭证，现已被亚马逊关闭。

Sysdig 在一份报告中称： “被盗凭证属于云服务提供商 (CSP)、电子邮件提供商和其他服务。网络钓鱼和垃圾邮件似乎是窃取凭证的主要目标。”

这项多面犯罪活动虽然并不复杂，但已发现其利用大量私人工具窃取凭证以及抓取 Git 配置文件、Laravel .env 文件和原始网络数据。目前尚未发现任何已知威胁行为者或组织实施了该活动。

EMERALDWHALE 采用的工具集针对使用广泛 IP 地址范围的暴露 Git 存储库配置文件的服务器，允许发现相关主机并提取和验证凭证。

这些被盗的令牌随后被用来克隆公共和私有存储库，并获取源代码中嵌入的更多凭证。捕获的信息最终被上传到 S3 存储桶。

威胁行为者用来实现其目标的两个主要程序是 MZR V2 和 Seyzo-v2，它们在地下市场上出售，并且能够接受 IP 地址列表作为输入，以扫描和利用暴露的 Git 存储库。

这些列表通常使用合法搜索引擎（例如 Google Dorks 和 Shodan）以及扫描实用程序（例如MASSCAN）编制。

此外，Sysdig 的分析发现，一份包含超过 67,000 个 URL 的列表，其中暴露了路径“/.git/config”，正在通过 Telegram 以 100 美元的价格出售，这表明 Git 配置文件存在市场。

Sysdig 研究员 Miguel Hernández 表示：“EMERALDWHALE 除了针对 Git 配置文件外，还针对暴露的 Laravel 环境文件。.env 文件包含大量凭证，包括云服务提供商和数据库。”

“凭证的地下市场正在蓬勃发展，尤其是云服务。这次攻击表明，单靠秘密管理不足以确保环境的安全。”

Gogs开源自托管 Git 服务中披露了四个未修补的安全漏洞，其中包括三个严重漏洞，这些漏洞可能使经过身份验证的攻击者能够破坏易受攻击的实例、窃取或擦除源代码，甚至植入后门。

SonarSource 研究人员 Thomas Chauchefoin 和 Paul Gerste 指出，这些漏洞如下：

CVE-2024-39930（CVSS 评分：9.9）——内置 SSH 服务器中的参数注入
CVE-2024-39931（CVSS 评分：9.9）——删除内部文件
CVE-2024-39932（CVSS 评分：9.9）——变更预览期间的参数注入
CVE-2024-39933（CVSS 评分：7.7）——标记新版本时进行参数注入
成功利用前三个缺陷可能允许攻击者在 Gogs 服务器上执行任意命令，而第四个缺陷则允许攻击者读取任意文件，例如源代码和配置机密。

换句话说，通过滥用这些问题，威胁行为者可以读取实例上的源代码，修改任何代码，删除所有代码，瞄准可从 Gogs 服务器访问的内部主机，并冒充其他用户并获得更多权限。

也就是说，所有四个漏洞都要求攻击者经过身份验证。此外，触发 CVE-2024-39930 需要启用内置 SSH 服务器、使用 env 二进制文件的版本，并且威胁行为者拥有有效的 SSH 私钥。

研究人员表示：“如果 Gogs 实例启用了注册功能，攻击者只需创建一个帐户并注册他们的 SSH 密钥即可。否则，他们就必须入侵另一个帐户或窃取用户的 SSH 私钥。”

在 Windows 上运行的 Gogs 实例不会被利用，Docker 镜像也是如此。但是，在 Debian 和 Ubuntu 上运行的 Gogs 实例容易受到攻击，因为 env 二进制文件支持“--split-string”选项。

根据 Shodan 上的数据，大约有 7,300 个 Gogs 实例可通过互联网公开访问，其中近 60％位于中国，其次是美国、德国、俄罗斯和香港。

目前尚不清楚有多少暴露的服务器存在上述漏洞。SonarSource 表示，他们无法得知这些问题是否正在被利用。

这家瑞士网络安全公司还指出，该项目维护人员在 2023 年 4 月 28 日接受其初步报告后“没有实施修复并停止了沟通”。

在没有更新的情况下，建议用户禁用内置 SSH 服务器，关闭用户注册以防止大规模利用，并考虑切换到 Gitea。SonarSource 还发布了一个用户可以应用的补丁，但指出它尚未经过广泛测试。

云安全公司 Aqua 发现，访问令牌和密码等敏感信息一旦被硬编码，即使从基于 Git 的源代码管理 (SCM) 系统中删除后，仍可能永久暴露。

该问题被称为幻影秘密，其根源在于它们无法通过任何常规扫描方法发现 - 其中大多数使用“git clone”命令查找秘密 - 并且某些秘密只能通过“git clone --mirror”或 SCM 平台的缓存视图访问，突显了此类扫描工具可能错过的盲点。

安全研究人员 Yakir Kadkoda 和 Ilay Goldman表示： “提交内容仍可通过 SCM 上的‘缓存视图’进行访问。从本质上讲，SCM 会永久保存提交内容。”

“这意味着，即使从存储库的克隆和镜像版本中删除了包含提交的秘密，如果有人知道提交哈希，仍然可以访问它。他们可以通过 SCM 平台的 GUI 检索提交内容并访问泄露的秘密。”