Executando verificação de segurança...
4

Hackers roubam 15 mil credenciais de nuvem por meio de arquivos de configuração Git expostos

Em uma operação conhecida como “EmeraldWhale”, os indivíduos utilizam ferramentas automatizadas para escanear intervalos de IPs em busca de arquivos como “.git/config” e “.gitlab-ci.yml”, que frequentemente contêm tokens de autenticação. Esses tokens permitem o download de código-fonte, bancos de dados e outros dados confidenciais, expondo informações originalmente restritas.

Para a operação, os hackers empregam ferramentas de código aberto, como “httpx” e “Masscan”, que escaneiam cerca de 500 milhões de endereços IP distribuídos em 12 mil intervalos. Além disso, eles criaram uma lista abrangente com todos os possíveis endereços IPv4, totalizando mais de 4,2 bilhões de entradas, para facilitar futuros escaneamentos. Após identificar uma exposição, os tokens são verificados usando comandos “curl” em várias APIs e, se válidos, utilizados para baixar repositórios privados. Esses repositórios são então examinados em busca de mais segredos de autenticação para plataformas como AWS, provedores de e-mail e serviços de nuvem.

Os dados roubados são exfiltrados para buckets Amazon S3 comprometidos e utilizados em campanhas de phishing e spam ou vendidos para outros cibercriminosos. Um bucket S3 analisado armazenava um terabyte de dados sigilosos, incluindo credenciais e registros de log. Estima-se que 67 mil URLs com arquivos de configuração expostos tenham sido identificadas, das quais 28 mil continham repositórios Git, 6 mil tokens eram do GitHub, e 2 mil credenciais foram confirmadas como ativas. Além das grandes plataformas como GitHub, GitLab e BitBucket, 3,5 mil repositórios menores, pertencentes a equipes menores e desenvolvedores independentes, também foram comprometidos. URLs que indicam arquivos de configuração Git expostos são vendidas no Telegram por cerca de 100 dólares.

Recomenda-se o uso de ferramentas dedicadas para gerenciamento de segredos e variáveis de ambiente em vez de armazená-los diretamente em arquivos de configuração do Git.

Carregando publicação patrocinada...