EmeraldWhale行动：15000个云账户凭证被盗

最近，一个名为“EmeraldWhale”的大规模恶意行动被发现，该行动通过扫描暴露的Git配置文件，从数千个私有仓库中窃取了超过15000个云账户凭证。

• 发现者：Sysdig发现了这一行动。

• 扫描工具：行动涉及使用自动化工具扫描IP范围，寻找暴露的Git配置文件，这些文件可能包含认证令牌。

• 目标平台：这些令牌被用来下载存储在GitHub、GitLab和BitBucket上的仓库，并进一步扫描以寻找更多凭证。

• 数据泄露：被盗数据被转移到其他受害者的Amazon S3存储桶中，并用于钓鱼和垃圾邮件活动，甚至直接出售给其他网络犯罪分子。

• Git配置文件：如/.git/config或.gitlab-ci.yml等Git配置文件，用于定义仓库路径、分支、远程等选项，有时甚至包含API密钥、访问令牌和密码等认证信息。

• 风险：如果私有仓库中的/.git目录被错误地暴露在网站上，威胁行为者可以使用扫描器轻松定位并读取它们。

• 扫描工具：EmeraldWhale背后的威胁行为者使用开源工具如'httpx'和'Masscan'，扫描估计有500万个IP地址的网站上托管的网站。

• IP地址文件：黑客甚至创建了包含每个可能的IPv4地址的文件，超过42亿个条目，以简化未来的扫描。

• 验证和下载：一旦识别出暴露，使用'curl'命令验证令牌的有效性，并下载私有仓库。

• 数据量：Sysdig检查了暴露的S3存储桶，发现其中包含1TB的秘密，包括被盗的凭证和日志数据。

• 凭证统计：EmeraldWhale从67000个暴露配置文件的URL中窃取了15000个云凭证。

• 秘密管理：软件开发者可以通过使用专门的密钥管理工具来存储他们的秘密，并使用环境变量在运行时配置敏感设置，而不是将它们硬编码在Git配置文件中，以降低风险。

这一行动虽然依赖于通用工具和自动化，但仍然成功窃取了数千个秘密，这些秘密可能导致灾难性的数据泄露。我们必须提高警惕，采取有效措施保护我们的数字资产。