Hackerek elloptak 15 000 felhő hitelesítő adatot
Az EmeraldWhale nevű nagyszabású rosszindulatú művelet a kitett Git konfigurációs fájlokat vizsgálta, hogy több mint 15 000 felhőfiók hitelesítő adatait lopja el több ezer privát tárolóból. A kampányt felfedező Sysdig szerint a művelet során olyan automatizált eszközöket használtak, amelyek IP-tartományokat szkenneltek Git konfigurációs fájlok keresése céljából, amelyek tartalmazhatnak hitelesítési tokeneket. Ezeket a tokeneket ezután a GitHubon, a GitLabon és a BitBucketen tárolt tárolók letöltésére használták, amelyeket további hitelesítő adatok után vizsgáltak.
Az ellopott adatokat más áldozatok Amazon S3 bucket-jeibe exfiltrálták, majd adathalász- és spamkampányokban használták fel, és közvetlenül más kiberbűnözőknek adták el azokat. Míg a Git hitelesítési tokenek felfedése lehetővé teheti az adatlopást, ez teljes körű adatbetörésekhez is vezethet, mint amilyet nemrég az Internet Archive esetében láttunk. A Git konfigurációs fájlokat, például a /.git/config vagy a .gitlab-ci.yml fájlokat különböző beállítások, például a tároló útvonalai, ágak, távoli elérhetőségek és néha még hitelesítési információk, például API-kulcsok, hozzáférési tokenek és jelszavak meghatározására használják. A fejlesztők a kényelem érdekében ezeket a secret-eket a privát tárolókba is felvehetik, megkönnyítve az adatátvitelt és az API-interakciókat anélkül, hogy minden egyes alkalommal konfigurálni vagy hitelesítést kellene végezni. Ez nem kockázatos, amíg az adattár megfelelően el van szigetelve a nyilvános hozzáféréstől. Ha azonban a konfigurációs fájlt tartalmazó /.git könyvtárat tévedésből kiteszik egy weboldalon, a szkennereket használó fenyegető szereplők könnyen megtalálhatják és elolvashatják azokat. Az EmeraldWhale mögött álló fenyegető szereplők olyan nyílt forráskódú eszközöket használnak, mint a „httpx” és a „Masscan”, hogy átvizsgálják a 12 000 IP-tartományra osztott, becslések szerint 500 millió IP-címen üzemeltetett webhelyeket.
