Pesquisadores de segurança cibernética sinalizaram uma campanha “massiva” que visa abertamente as configurações do Git para injetar informações, mesclar repositórios privados e extrair credenciais de nuvem do código-fonte.
A obra, nomeada em código A BALEIA ESMERALDAestima-se que ele coletou mais de 10.000 repositórios privados e foi armazenado no bucket de armazenamento Amazon S3 da vítima. O balde, que incluía nada menos que 15.000 dados roubados, foi retirado do ar pela Amazon.
“As informações roubadas pertencem a provedores de serviços em nuvem (CSPs), provedores de e-mail e outros serviços”, disse Sysdig no relatório. “Phishing e spam parecem ser os principais alvos do roubo de dados.”
Descobriu-se que uma operação criminosa multifacetada, embora pouco sofisticada, usava um arsenal de ferramentas secretas para roubar credenciais e raspar arquivos de configuração do Git, arquivos .env do Laravel e dados brutos da web. Não se diz que seja devido a nenhum ator ou grupo malicioso conhecido.
Visando servidores com arquivos de configuração de repositório Git expostos usando uma variedade de endereços IP, um conjunto de ferramentas adotado pelo EMERALDWHALE permite a detecção de hosts relevantes, bem como a emissão de credenciais e autenticação.
Esses tokens roubados foram posteriormente usados para mesclar repositórios públicos e privados e manter credenciais adicionais incorporadas ao código-fonte. As informações capturadas são finalmente carregadas em um bucket S3.
Dois programas proeminentes que o ator da ameaça usa para atingir seus objetivos são o MZR V2 e o Seyzo-v2, que são vendidos em mercados clandestinos e podem aceitar uma lista de endereços IP como entrada para varredura e exploração de repositórios Git expostos.
Essas listas são geralmente compiladas usando mecanismos de busca oficiais, como Google Dorks e Shodan, e serviços de digitalização, como MASSCAN.
Além disso, a análise da Sysdig descobriu que uma lista composta por mais de 67.000 URLs na forma de “/.git/config” está sendo vendida no Telegram por US$ 100, indicando que existe um mercado para arquivos de configuração Git.
“O EMERALDWHALE, além de ter como alvo os arquivos de configuração do Git, também tem como alvo os arquivos expostos do ambiente Laravel”, disse o pesquisador da Sysdig, Miguel Hernández. “Os arquivos .env contêm uma grande variedade de credenciais, incluindo provedores de serviços em nuvem e bancos de dados.”
“O mercado clandestino de autenticação está crescendo, especialmente em serviços em nuvem. Este ataque mostra que o gerenciamento da privacidade por si só não é suficiente para proteger o meio ambiente.”
