S'inscrire

Cybersécurité - 01/11/2024

Une violation massive de la configuration de Git expose 15 000 identifiants ; 10 000 dépôts privés clonés

Hacker utilisant un outil de cybersécurité

Les chercheurs en cybersécurité ont signalé une campagne « massive » qui cible les configurations Git exposées pour siphonner les informations d’identification, cloner des référentiels privés et même extraire les informations d’identification cloud du code source.

L’activité, dont le nom de code est EMERALDWHALE , aurait collecté plus de 10 000 référentiels privés et les aurait stockés dans un compartiment de stockage Amazon S3 appartenant à une victime antérieure. Le compartiment, composé de pas moins de 15 000 identifiants volés, a depuis été démantelé par Amazon.

« Les identifiants volés appartiennent à des fournisseurs de services cloud (CSP), à des fournisseurs de messagerie électronique et à d’autres services », a déclaré Sysdig dans un rapport. « Le phishing et le spam semblent être l’objectif principal du vol des identifiants. »

Cette opération criminelle aux multiples facettes, bien que peu sophistiquée, s’appuie sur un arsenal d’outils privés pour voler des informations d’identification ainsi que pour récupérer des fichiers de configuration Git, des fichiers .env de Laravel et des données Web brutes. Elle n’a été attribuée à aucun acteur ou groupe de menace connu.

Ciblant les serveurs avec des fichiers de configuration de référentiel Git exposés à l’aide de larges plages d’adresses IP, l’ensemble d’outils adopté par EMERALDWHALE permet la découverte d’hôtes pertinents et l’extraction et la validation des informations d’identification.

Ces jetons volés sont ensuite utilisés pour cloner des référentiels publics et privés et récupérer davantage d’informations d’identification intégrées dans le code source. Les informations capturées sont finalement téléchargées dans le bucket S3.

Violation massive de la configuration de Git />

Deux programmes importants utilisés par l’acteur malveillant pour atteindre ses objectifs sont MZR V2 et Seyzo-v2, qui sont vendus sur des marchés clandestins et sont capables d’accepter une liste d’adresses IP comme entrées pour l’analyse et l’exploitation des référentiels Git exposés.

Ces listes sont généralement compilées à l’aide de moteurs de recherche légitimes tels que Google Dorks et Shodan et d’utilitaires d’analyse tels que MASSCAN .

De plus, l’analyse de Sysdig a révélé qu’une liste comprenant plus de 67 000 URL avec le chemin « /.git/config » exposé est proposée à la vente via Telegram pour 100 $, signalant qu’il existe un marché pour les fichiers de configuration Git.

« EMERALDWHALE, en plus de cibler les fichiers de configuration Git, a également ciblé les fichiers d’environnement Laravel exposés », a déclaré Miguel Hernández, chercheur chez Sysdig. « Les fichiers .env contiennent une multitude d’informations d’identification, notamment celles des fournisseurs de services cloud et des bases de données. »

« Le marché clandestin des identifiants est en plein essor, notamment pour les services cloud. Cette attaque montre que la gestion des secrets ne suffit pas à elle seule à sécuriser un environnement. »100

Sujets récents