Статьи Новости Блоги

Новая угроза для пользователей Git: 15 000 украденных учётных данных и 10 000 частных репозиториев

На рынке файлов конфигураций Gi: 67 000 URL-адресов Git

Исследователи в области кибербезопасности обнаружили крупномасштабную кампанию, получившую название EMERALDWHALE, которая нацелена на уязвимые конфигурации Git. Целью злоумышленников является кража учётных данных, клонирование частных репозиториев и даже извлечение облачных учётных данных из исходного кода.

По оценкам, EMERALDWHALE собрала более 10 000 частных репозиториев и сохранила их в хранилище Amazon S3, принадлежащем предыдущей жертве. Это хранилище содержало не менее 15 000 украденных учётных данных, которые с тех пор были удалены Amazon. «Украденные учётные данные принадлежат поставщикам облачных услуг, поставщикам электронной почты и другим службам. Похоже, что фишинг и спам являются основными целями кражи учётных данных», — говорится в отчёте Sysdig.

Преступная операция использует арсенал частных инструментов для кражи учётных данных, а также для извлечения файлов конфигурации Git и необработанных веб-данных. Она не была приписана ни одному известному субъекту или группе.

Источник: DALL-E

Набор инструментов EMERALDWHALE нацелен на серверы с открытыми файлами конфигурации репозитория Git, используя широкие диапазоны IP-адресов для обнаружения соответствующих хостов, извлечения и проверки учётных данных. Эти украденные токены впоследствии используются для клонирования публичных и частных репозиториев и захвата большего количества учётных данных, содержащихся в исходном коде. Захваченная информация в конечном итоге загружается в контейнер S3.

Две известные программы, которые используются, — это MZR V2 и Seyzo-v2, которые продаются на подпольных торговых площадках и способны принимать список IP-адресов в качестве входных данных для сканирования и эксплуатации уязвимых репозиториев Git. Эти списки обычно составляются с использованием поисковых систем, таких как Google Dorks и Shodan, а также утилит сканирования, таких как MASSCAN.

Более того, анализ Sysdig показал, что список, содержащий более 67 000 URL-адресов с открытым путём «/.git/config», предлагается для продажи через Telegram за $100, что свидетельствует о существовании рынка файлов конфигурации Git.

«EMERALDWHALE, помимо файлов конфигурации Git, также нацелился на открытые файлы среды Laravel. Файлы .env содержат множество учётных данных, включая поставщиков облачных услуг и базы данных. Подпольный рынок учётных данных процветает, особенно что касается облачных сервисов», — сказал исследователь Sysdig Мигель Эрнандес.

3 ноября 2024 Г.

23:17

Darth Sahara

| Источник: thehackernews.com

Комментировать (0)