Cibercriminales roban más de 15 mil credenciales en la nube de archivos de Git
Una operación maliciosa a gran escala, llamada “EmeraldWhale”, ha escaneado archivos de configuración de Git expuestos, con el fin de robar más de 15 mil credenciales de cuentas en la nube de miles de repositorios privados.
Según diversos medios digitales e investigadores de ciberseguridad, la operación implica el uso de herramientas automatizadas que escanean rangos de IP, en busca de archivos de configuración de Git expuestos, los cuales pueden incluir tokens de autenticación.
Dichos tokens se utilizan después para la descarga de repositorios almacenados en GitHub, GitLab y BitBucket, que son escaneados en busca de más credenciales. Los datos robados se filtraron a los buckets de Amazon S3 de otras cuentas comprometidas y luego, se emplearon en campañas de phishing y spam, en donde se vendieron directamente a otros ciberdelincuentes.
Si bien la exposición de tokens de autenticación de Git puede permitir el robo de datos, podría conducir a violaciones de datos en toda regla, como la que se observó recientemente con Internet Archive. Igualmente, los archivos de configuración de Git, como /.git/config o .gitlab-ci.yml, se utilizan para definir varias opciones como rutas de repositorio, ramas, controles remotos e incluso, información de autenticación como claves de API, tokens de acceso y contraseñas.
Ante esto, los desarrolladores pueden incluir estos secretos en repositorios privados para mayor comodidad, lo que facilita las transmisiones de datos y las interacciones con APIs sin tener que configurar ni volver a hacer autenticaciones cada vez que se conecten.
Hacer esto no es riesgoso siempre y cuando el repositorio esté aislado adecuadamente del acceso público. No obstante, si el directorio /.git que contiene el archivo de configuración se expone por un error de la plataforma web, los actores maliciosos que usen escáneres podrían localizarlos y leerlos con facilidad.
TIC Defense se centra en la prevención de ciberataques, mediante la concientización de todos los usuarios que hacen vida en una empresa. Al fallar un eslabón de la cadena, las consecuencias son catastróficas. De nada sirve desarrollar tecnología de punta si la mayoría de los usuarios desconocen su uso o cómo hacer para prevenir vulnerabilidades. Por ello, contamos con equipos especializados que se concentran tanto en la prevención como en la respuesta rápida a incidentes.
Si los archivos de configuración robados contienen tokens de autenticación, pueden ser utilizados para descargar código fuente asociado, bases de datos y otros recursos confidenciales que no están destinados al acceso público.
Por esta razón, los hackers maliciosos detrás de “EmeraldWhale” emplean herramientas de código abierto como “httpx”, con el objetivo de escanear sitios web alojados en, aproximadamente, 500 millones de direcciones IP divididas en 12 mil rangos de IP.
Diversos expertos afirman que los ciberdelincuentes crearon archivos que se encargan de enumerar todas las direcciones IPv4 posibles, las cuales abarcan más de 4 mil millones de entradas para agilizar los futuros análisis. Estos análisis simplemente verifican si el archivo /.git/config y los archivos de entorno (.env) en las aplicaciones de Laravel están expuestos y que pueden contener claves API y credenciales en la nube.
Una vez que se identifica una exposición, los tokens se verifican utilizando comandos "curl" para varias API y, si son válidos, se emplean para descargar repositorios privados. Estos repositorios descargados se escanean nuevamente en busca de secretos de autenticación para AWS, plataformas en la nube y proveedores de servicios de correo electrónico.
