大规模Git配置泄露,15,000个凭证被泄露;10,000个私人存储库被克隆

admin
admin
admin
140350
文章
117
评论
2024年11月11日11:03:01评论15 views字数 904阅读3分0秒阅读模式

大规模Git配置泄露,15,000个凭证被泄露;10,000个私人存储库被克隆

网络安全研究人员发现了一场“大规模”活动,该活动针对暴露的Git配置来窃取凭证、克隆私有存储库,甚至从源代码中提取云凭证。

据估计,该活动代号为EMERALDWHALE,收集了超过10,000个私人存储库,并存储在属于先前受害者的Amazon S3存储桶中。该存储桶包含不少于15,000个被盗凭证,现已被亚马逊关闭。
Sysdig在一份报告中称:“被盗凭证属于云服务提供商 (CSP)、电子邮件提供商和其他服务。网络钓鱼和垃圾邮件似乎是窃取凭证的主要目标。”
https://sysdig.com/blog/emeraldwhale/

这项多面犯罪活动虽然并不复杂,但已发现其利用大量私人工具窃取凭证以及抓取Git配置文件、Laravel .env文件和原始网络数据。目前尚未发现任何已知威胁行为者或组织实施了该活动。

EMERALDWHALE采用的工具集针对使用广泛IP地址范围的暴露Git存储库配置文件的服务器,允许发现相关主机并提取和验证凭证。
这些被盗的令牌随后被用来克隆公共和私有存储库,并获取源代码中嵌入的更多凭证。捕获的信息最终被上传到S3存储桶。
大规模Git配置泄露,15,000个凭证被泄露;10,000个私人存储库被克隆

威胁行为者用来实现其目标的两个主要程序是MZR V2和Seyzo-v2,它们在地下市场上出售,并且能够接受IP地址列表作为输入,以扫描和利用暴露的Git存储库。

这些列表通常使用合法搜索引擎(例如Google Dorks和Shodan)以及扫描实用程序(例如MASSCAN)

此外,Sysdig的分析发现,一份包含超过67,000个URL的列表,其中暴露了路径“/.git/config”,正在通过Telegram以100美元的价格出售,这表明Git配置文件存在市场。

Sysdig研究员Miguel Hernández表示:“EMERALDWHALE除了针对Git配置文件外,还针对暴露的Laravel环境文件。.env文件包含大量凭证,包括云服务提供商和数据库。”
“地下凭证市场正在蓬勃发展,尤其是云服务。这次攻击表明,单靠秘密管理不足以确保环境的安全。”

原文始发于微信公众号(潇湘信安):大规模Git配置泄露,15,000个凭证被泄露;10,000个私人存储库被克隆

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月11日11:03:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   大规模Git配置泄露,15,000个凭证被泄露;10,000个私人存储库被克隆https://cn-sec.com/archives/3382246.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息