Los piratas informáticos han robado decenas de miles de credenciales de cuenta en la nubeal abusar de los archivos de configuración de Git expuestos, afirmaron los expertos.
Los archivos de configuración de Git son donde Git guarda diferentes preferencias y configuraciones, como nombres, correo electrónico o qué archivos ignorar. Ayudan a Git a saber cómo comportarse en diferentes proyectos y se pueden configurar globalmente (para todos los proyectos) o solo para proyectos específicos. A veces, los desarrolladores incluyen secretos valiosos en repositorios privados, ya que es más rápido y conveniente. Generalmente no es un problema, siempre y cuando los repositorios estén debidamente protegidos.
Sin embargo, cuando quedan expuestos en Internet, los piratas informáticos pueden encontrarlos y apoderarse de ellos, según revela un informe de los investigadores de ciberseguridad Sysdig, que denominaron la operación “EmeraldWhale”.
Credenciales activas
Los actores de amenazas detrás de EmeraldWhale utilizaron múltiples herramientas de escaneo, como 'httpx' y 'Masscan' para escanear sitios web alojados en unos 500 millones de direcciones IP. Los dividieron en 12.000 rangos de IP y buscaron archivos de configuración de Git expuestos.
Una vez encontrados, los archivos se descargaron primero y luego se escanearon por segunda vez, en busca de cosas como contraseñas. Sysdig dice que más de 15.000 credenciales de cuentas en la nube fueron robadas de esta manera y luego utilizadas en campañas de phishing y spam, o vendidas directamente a otros ciberdelincuentes. Aparentemente, se puede ganar mucho dinero con este descubrimiento, ya que solo una lista de URL que apuntan a archivos de configuración de Git expuestos cuesta aproximadamente $100 en grupos de Telegram.
En total, los archivos robados tenían un tamaño de 1 TB e incluían 15.000 credenciales de 67.000 URL. Del total de URL expuestas, 28.000 correspondían a repositorios de Git, 6.000 a tokens de GitHub y 2.000 fueron confirmadas como credenciales activas.
Defenderse de este tipo de ataques no es difícil, sólo asegúrese de utilizar una herramienta de gestión de secretos dedicada para almacenarlos.
A través de pitidocomputadora