Hackers roban 15.000 credenciales de la nube de Git

Iniciado por AXCESS, Octubre 30, 2024, 10:01:09 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 30, 2024, 10:01:09 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una operación maliciosa a gran escala denominada "EmeraldWhale" escaneó archivos de configuración de Git expuestos para robar más de 15 000 credenciales de cuentas en la nube de miles de repositorios privados.

Según Sysdig, quien descubrió la campaña, la operación implica el uso de herramientas automatizadas que escanean rangos de IP en busca de archivos de configuración de Git expuestos, que pueden incluir tokens de autenticación.

Estos tokens se utilizan luego para descargar repositorios almacenados en GitHub, GitLab y BitBucket, que se escanean en busca de más credenciales.

Los datos robados se filtraron a los buckets de Amazon S3 de otras víctimas y, posteriormente, se utilizaron en campañas de phishing y spam y se vendieron directamente a otros cibercriminales.

Si bien la exposición de tokens de autenticación de Git puede permitir el robo de datos, también podría conducir a violaciones de datos en toda regla, como la que vimos recientemente con Internet Archive.

Archivos de configuración de Git expuestos

Los archivos de configuración de Git, como /.git/config o .gitlab-ci.yml, se utilizan para definir varias opciones, como rutas de repositorio, ramas, controles remotos y, a veces, incluso información de autenticación, como claves de API, tokens de acceso y contraseñas.

Los desarrolladores pueden incluir estos secretos en repositorios privados para mayor comodidad, lo que facilita las transmisiones de datos y las interacciones de API sin tener que configurar ni realizar la autenticación cada vez.

Esto no es riesgoso siempre que el repositorio esté adecuadamente aislado del acceso público. Sin embargo, si el directorio /.git que contiene el archivo de configuración se expone por error en un sitio web, los actores de amenazas que utilicen escáneres podrían localizarlos y leerlos fácilmente.

Si estos archivos de configuración robados contienen tokens de autenticación, se pueden utilizar para descargar código fuente asociado, bases de datos y otros recursos confidenciales que no están destinados al acceso público.

Los actores de amenazas detrás de EmeraldWhale utilizan herramientas de código abierto como 'httpx' y 'Masscan' para escanear sitios web alojados en aproximadamente 500 millones de direcciones IP divididas en 12.000 rangos de IP.

Sysdig dice que los piratas informáticos incluso crearon archivos que enumeran todas las direcciones IPv4 posibles, que abarcan más de 4.2 mil millones de entradas, para agilizar los escaneos futuros.

Los escaneos simplemente verifican si el archivo /.git/config y los archivos de entorno (.env) en las aplicaciones de Laravel están expuestos, que también pueden contener claves API y credenciales de la nube.

Una vez que se identifica una exposición, los tokens se verifican utilizando comandos 'curl' a varias API y, si son válidos, se utilizan para descargar repositorios privados.

Estos repositorios descargados se escanean nuevamente en busca de secretos de autenticación para AWS, plataformas en la nube y proveedores de servicios de correo electrónico. Los actores de amenazas utilizaron los tokens de autenticación expuestos para plataformas de correo electrónico para realizar campañas de spam y phishing.

Sysdig observó el uso de dos conjuntos de herramientas básicos para optimizar este proceso a gran escala, a saber, MZR V2 (Mizaru) y Seyzo-v2.

Cadena de ataque de EmeraldWhale
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para Laravel, se utilizó la herramienta Multigrabber v8.5 para verificar los dominios en busca de archivos .env, robarlos y luego clasificar la información en función de su potencial de usabilidad.

Descripción general de los ataques de Laravel
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Evaluación de los datos robados

Sysdig examinó el depósito S3 expuesto y encontró un terabyte de secretos en él, incluidas credenciales robadas y datos de registro.

Según los datos recopilados, EmeraldWhale robó 15 000 credenciales de la nube de 67 000 URL que exponían archivos de configuración.

De las URL expuestas, 28 000 correspondían a repositorios de Git, 6000 eran tokens de GitHub y unas 2000 fueron validadas como credenciales activas.

Además de las principales plataformas como GitHub, GitLab y BitBucket, los piratas informáticos también atacaron 3500 repositorios más pequeños que pertenecían a pequeños equipos y desarrolladores individuales.

Credenciales robadas por la plataforma
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Sysdig afirma que las simples listas de URL que apuntan a archivos de configuración de Git expuestos se venden en Telegram por unos 100 dólares, pero quienes extraen los secretos y los validan tienen oportunidades de monetización mucho más significativas.

Los investigadores señalan que esta campaña no es particularmente sofisticada, se basa en herramientas básicas y automatización, pero aun así logró robar miles de secretos que potencialmente pueden conducir a violaciones de datos catastróficas.

Los desarrolladores de software pueden mitigar el riesgo utilizando herramientas de gestión de secretos dedicadas para almacenar sus secretos y utilizando variables de entorno para configurar ajustes sensibles en tiempo de ejecución en lugar de codificarlos en archivos de configuración de Git.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario