网络安全研究人员发现了一场“大规模”黑客活动，该活动针对暴露的 Git 配置来窃取凭证、克隆私有存储库，甚至从源代码中提取云凭证。

据估计，该活动代号为EMERALDWHALE，收集了超过 10,000 个私人存储库，并存储在属于先前受害者的 Amazon S3 存储桶中。该存储桶包含不少于 15,000 个被盗凭证，现已被亚马逊关闭。

Sysdig 在一份报告中称：“被盗凭证属于云服务提供商 (CSP)、电子邮件提供商和其他服务。网络钓鱼和垃圾邮件似乎是窃取凭证的主要目标。”

这项多面犯罪活动虽然并不复杂，但已发现其利用大量私人工具窃取凭证以及抓取 Git 配置文件、Laravel .env 文件和原始网络数据。目前尚未发现任何已知威胁组织实施了该活动。

EMERALDWHALE 采用的工具集针对使用广泛 IP 地址范围的暴露 Git 存储库配置文件的服务器，允许发现相关主机并提取和验证凭证。

这些被盗的令牌随后被用来克隆公共和私有存储库，并获取源代码中嵌入的更多凭证。捕获的信息最终被上传到 S3 存储桶。

攻击者用来实现其目标的两个主要程序是 MZR V2 和 Seyzo-v2，它们在地下市场上出售，并且能够接受 IP 地址列表作为输入，以扫描和利用暴露的 Git 存储库。

这些列表通常使用合法搜索引擎（例如 Google Dorks 和 Shodan）以及扫描实用程序（例如MASSCAN）编制。

此外，Sysdig 的分析发现，一份包含超过 67,000 个 URL 的列表，其中暴露了路径“/.git/config”，正在通过 Telegram 以 100 美元的价格出售，这表明 Git 配置文件存在市场。

Sysdig 研究员 Miguel Hernández 表示：“EMERALDWHALE 除了针对 Git 配置文件外，还针对暴露的 Laravel 环境文件。.env 文件包含大量凭证，包括云服务提供商和数据库。”

“凭证的地下市场正在蓬勃发展，尤其是云服务。这次攻击表明，单靠秘密管理不足以确保环境的安全。”

技术报告：https://sysdig.com/blog/emeraldwhale/

新闻链接：

https://thehackernews.com/2024/11/massive-git-config-breach-exposes-15000.html