Pesquisadores de segurança cibernética sinalizaram uma campanha “massiva” que visa configurações expostas do Git para desviar credenciais, clonar repositórios privados e até mesmo extrair credenciais de nuvem do código-fonte.
A atividade, codinome BALEIA ESMERALDAestima-se que tenha coletado mais de 10.000 repositórios privados e armazenados em um bucket de armazenamento do Amazon S3 pertencente a uma vítima anterior. O balde, que consiste em nada menos que 15.000 credenciais roubadas, foi retirado do ar pela Amazon.
“As credenciais roubadas pertencem a provedores de serviços em nuvem (CSPs), provedores de e-mail e outros serviços”, disse Sysdig em um relatório. “Phishing e spam parecem ser o principal objetivo do roubo de credenciais.”
Descobriu-se que a operação criminosa multifacetada, embora não sofisticada, utiliza um arsenal de ferramentas privadas para roubar credenciais, bem como extrair arquivos de configuração do Git, arquivos .env do Laravel e dados brutos da net. Não foi atribuído a nenhum ator ou grupo de ameaça conhecido.
Visando servidores com arquivos de configuração de repositório Git expostos usando amplos intervalos de endereços IP, o conjunto de ferramentas adotado pelo EMERALDWHALE permite a descoberta de hosts relevantes e a extração e validação de credenciais.
Esses tokens roubados são posteriormente usados para clonar repositórios públicos e privados e obter mais credenciais incorporadas no código-fonte. As informações capturadas são finalmente carregadas no bucket S3.
Dois programas proeminentes que o agente da ameaça usa para atingir seus objetivos são o MZR V2 e o Seyzo-v2, que são vendidos em mercados clandestinos e são capazes de aceitar uma lista de endereços IP como entradas para varredura e exploração de repositórios Git expostos.
Essas listas são normalmente compiladas usando mecanismos de pesquisa legítimos, como Google Dorks e Shodan, e utilitários de digitalização, como MASSCAN.
Além do mais, a análise da Sysdig descobriu que uma lista contendo mais de 67.000 URLs com o caminho “/.git/config” exposto está sendo colocada à venda through Telegram por US$ 100, sinalizando que existe um mercado para arquivos de configuração Git.
“O EMERALDWHALE, além de ter como alvo os arquivos de configuração do Git, também teve como alvo os arquivos expostos do ambiente Laravel”, disse o pesquisador da Sysdig, Miguel Hernández. “Os arquivos .env contêm uma grande variedade de credenciais, incluindo provedores de serviços em nuvem e bancos de dados.”
“O mercado clandestino de credenciais está crescendo, especialmente para serviços em nuvem. Este ataque mostra que o gerenciamento secreto por si só não é suficiente para proteger um ambiente.”