- 19,455
- 40
- 8 Ноя 2022
Yачалась глобальная охота за исходниками.
Хакерские группы активизировали глобальную охоту за файлами конфигурации Git, способными раскрыть чувствительные данные и предоставить прямой доступ к облачным сервисам, приватным репозиториям и даже внутренним процессам разработки. По Для просмотра ссылки Войдиили Зарегистрируйся GreyNoise, с 20 по 21 апреля 2025 года зафиксирована самая масштабная волна такого сканирования — почти 4800 уникальных IP-адресов всего за двое суток.
Резкий всплеск активности охватил весь мир, но особенно выделился Сингапур: он оказался лидером как по числу источников, так и по количеству целевых систем. Далее следуют США и Германия. Наиболее часто атаки исходили с IP-адресов, связанных с облачными инфраструктурами Amazon Web Services, Cloudflare и DigitalOcean. Все IP были реальными — подмены или спуфинга не обнаружено. За последние 90 дней 95% адресов, замешанных в подобных действиях, классифицируются как злонамеренные.
Git-конфигурации становятся опасными, когда попадают в публичный доступ. Файл <code>.git/config</code> может содержать адреса удалённых репозиториев, структуру веток, настройки автосборки и, что особенно тревожно, — ключи API, токены, логины и пароли. Если разработчики не исключили <code>.git/</code> из публикации веб-приложения, то вся эта информация доступна через браузер — без какой-либо аутентификации. А при открытом доступе ко всей директории <code>.git</code> злоумышленники способны восстановить полный репозиторий вместе с историей коммитов, в которой часто скрываются конфиденциальные данные.
Обычное сканирование конфигурационных файлов — классическая разведывательная стадия атаки. Однако в практике такие действия зачастую превращаются в точку входа в инфраструктуру. Хакеры могут извлечь приватные ключи, доступы к облачным аккаунтам и закрытым URL, а затем развернуть полноценные атаки.
Один из самых ярких прецедентов произошёл в октябре 2024 года, когда команда Sysdig обнаружила кампанию под названием EmeraldWhale. В ходе атаки с использованием уязвимых <code>.git/config</code> было скомпрометировано более 15 000 облачных учётных данных, хранившихся в закрытых репозиториях. Сходный приём применили и при взломе Wayback Machine — злоумышленники не только проникли в систему, но и продолжали контролировать её даже после вмешательства специалистов.
По данным GreyNoise, в последние месяцы такие всплески наблюдались неоднократно — в ноябре, декабре, феврале и марте. Однако апрельский инцидент стал крупнейшим. Интересно, что в феврале география была иной: основными источниками были Нидерланды, США и Германия, а целями — США, Великобритания и Испания. Это может свидетельствовать о смене фокуса или перераспределении атакующих ресурсов.
Помимо организационных рекомендаций, специалисты обращают внимание на наличие уязвимости Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 7.5), которая может быть использована для обхода ограничений и получения доступа к закрытым структурам.
Чтобы избежать компрометации, рекомендуется: — полностью запретить доступ к директории <code>.git/</code> на уровне веб-сервера;
— блокировать обращение к скрытым файлам и папкам;
— настроить мониторинг логов на предмет повторяющихся запросов к <code>.git/config</code>;
— оперативно менять любые обнаруженные в истории токены, ключи и пароли.
Аналитики продолжают наблюдение за ситуацией и подчёркивают: Git остаётся критически важной точкой риска, особенно в условиях повсеместной облачной разработки.
Хакерские группы активизировали глобальную охоту за файлами конфигурации Git, способными раскрыть чувствительные данные и предоставить прямой доступ к облачным сервисам, приватным репозиториям и даже внутренним процессам разработки. По Для просмотра ссылки Войди
Резкий всплеск активности охватил весь мир, но особенно выделился Сингапур: он оказался лидером как по числу источников, так и по количеству целевых систем. Далее следуют США и Германия. Наиболее часто атаки исходили с IP-адресов, связанных с облачными инфраструктурами Amazon Web Services, Cloudflare и DigitalOcean. Все IP были реальными — подмены или спуфинга не обнаружено. За последние 90 дней 95% адресов, замешанных в подобных действиях, классифицируются как злонамеренные.
Git-конфигурации становятся опасными, когда попадают в публичный доступ. Файл <code>.git/config</code> может содержать адреса удалённых репозиториев, структуру веток, настройки автосборки и, что особенно тревожно, — ключи API, токены, логины и пароли. Если разработчики не исключили <code>.git/</code> из публикации веб-приложения, то вся эта информация доступна через браузер — без какой-либо аутентификации. А при открытом доступе ко всей директории <code>.git</code> злоумышленники способны восстановить полный репозиторий вместе с историей коммитов, в которой часто скрываются конфиденциальные данные.
Обычное сканирование конфигурационных файлов — классическая разведывательная стадия атаки. Однако в практике такие действия зачастую превращаются в точку входа в инфраструктуру. Хакеры могут извлечь приватные ключи, доступы к облачным аккаунтам и закрытым URL, а затем развернуть полноценные атаки.
Один из самых ярких прецедентов произошёл в октябре 2024 года, когда команда Sysdig обнаружила кампанию под названием EmeraldWhale. В ходе атаки с использованием уязвимых <code>.git/config</code> было скомпрометировано более 15 000 облачных учётных данных, хранившихся в закрытых репозиториях. Сходный приём применили и при взломе Wayback Machine — злоумышленники не только проникли в систему, но и продолжали контролировать её даже после вмешательства специалистов.
По данным GreyNoise, в последние месяцы такие всплески наблюдались неоднократно — в ноябре, декабре, феврале и марте. Однако апрельский инцидент стал крупнейшим. Интересно, что в феврале география была иной: основными источниками были Нидерланды, США и Германия, а целями — США, Великобритания и Испания. Это может свидетельствовать о смене фокуса или перераспределении атакующих ресурсов.
Помимо организационных рекомендаций, специалисты обращают внимание на наличие уязвимости Для просмотра ссылки Войди
Чтобы избежать компрометации, рекомендуется: — полностью запретить доступ к директории <code>.git/</code> на уровне веб-сервера;
— блокировать обращение к скрытым файлам и папкам;
— настроить мониторинг логов на предмет повторяющихся запросов к <code>.git/config</code>;
— оперативно менять любые обнаруженные в истории токены, ключи и пароли.
Аналитики продолжают наблюдение за ситуацией и подчёркивают: Git остаётся критически важной точкой риска, особенно в условиях повсеместной облачной разработки.
- Источник новости
- www.securitylab.ru
Последнее редактирование модератором:
