Un ataque cibernético a Git Config resultó en 10,000 repositorios privados clonados y exposición de 15,000 credenciales

Investigadores de ciberseguridad han identificado una campaña «masiva» que se dirige a configuraciones de Git expuestas para robar credenciales, clonar repositorios privados e incluso extraer credenciales de servicios en la nube a partir del código fuente.

La operación, llamada EMERALDWHALE, se estima que ha recolectado más de 10,000 repositorios privados, almacenados en un bucket de Amazon S3 que pertenecía a una víctima anterior. Este bucket, que contenía al menos 15,000 credenciales robadas, ha sido desactivado por Amazon.

«Las credenciales robadas incluyen las de proveedores de servicios en la nube (CSP), proveedores de correo electrónico y otros servicios. El objetivo principal de este robo de credenciales parece ser el phishing y el envío de spam», señaló Sysdig en un informe.

Esta operación criminal, aunque no sofisticada, usa una variedad de herramientas privadas para robar credenciales, además de extraer archivos de configuración de Git, archivos .env de Laravel y datos web en bruto. Hasta el momento, no se ha atribuido esta actividad a ningún actor o grupo de amenazas específico.

Dirigiéndose a servidores con archivos de configuración de repositorios Git expuestos a través de amplios rangos de direcciones IP, el conjunto de herramientas de EMERALDWHALE permite identificar hosts relevantes y extraer y validar credenciales.

Los tokens obtenidos se utilizan para clonar repositorios públicos y privados, así como para extraer más credenciales incrustadas en el código fuente. La información recolectada finalmente se almacena en el bucket de S3.

Dos programas clave que el grupo de amenazas utiliza para alcanzar sus objetivos son MZR V2 y Seyzo-v2, los cuales se venden en mercados clandestinos y son capaces de aceptar listas de direcciones IP para escanear y explotar repositorios Git expuestos.

Estas listas generalmente se crean usando motores de búsqueda legítimos como Google Dorks y Shodan, además de herramientas de escaneo como MASSCAN.

El análisis de Sysdig también reveló que una lista de más de 67,000 URLs con la ruta «/.git/config» expuesta se está vendiendo en Telegram por $100, lo que sugiere un mercado activo para los archivos de configuración de Git.

«Además de los archivos de configuración de Git, EMERALDWHALE también ha atacado archivos de entorno de Laravel expuestos. Los archivos .env contienen una gran cantidad de credenciales, incluidas las de servicios en la nube y bases de datos», comentó Miguel Hernández, investigador de Sysdig.

«El mercado clandestino de credenciales está en auge, especialmente para los servicios en la nube. Este ataque demuestra que solo gestionar secretos no es suficiente para proteger un entorno».

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *