Environ 4 800 adresses IP uniques ont été scannées pour les fichiers de configuration GIT exposés en une seule journée pour voler des secrets et des jetons sensibles.
Les fichiers de configuration GIT exposés dans les référentiels publics sont déterminés de manière agressive et examinée par les acteurs de la menace pour révéler des secrets sensibles et des jetons d’authentification involontairement laissés dans les projets GIT.
Une observation de Greynoise a enregistré un pic significatif dans les tentatives de recherche pour les fichiers de configuration GIT exposés entre le 20 avril et le 21 avril.
« Bien que le rampage lui-même soit une reconnaissance, la découverte réussie de fichiers de configuration GIT exposés peut conduire à l’exposition de bases de code internes, de flux de travail des développeurs et de références potentiellement sensibles », ont déclaré les chercheurs de Greynoise dans un article de blog.
Les fichiers de configuration GIT définissent les paramètres et les comportements de la façon dont GIT – le système de contrôle de version distribué – contenant souvent des informations sensibles telles que les informations d’identification en texte clair, y compris les jetons d’accès ou les secrets codés en dure, les URL du référentiel à distance, la structure des branches et les conventions de dénomination, et les métadonnées fournissant des informations sur les processus de développement interne.
Lorsque les développeurs quittent .Git / répertoires accessibles au public, ils distribuent involontairement des fichiers internes – des cibles d’espionnage primaire qui donnent aux attaquants une longueur d’avance.
Environ 5k recherche unique en une journée
Selon une capture d’écran partagée par Greynoise, un instrument de tracker interne, «Git Config Crawler» – utilisé pour identifier les IPS rampant sur Internet pour les fichiers de configuration Git sensibles – a enregistré un total de 11 885 IP uniques au cours des 90 derniers jours, dont près de 4800 sont venus entre le 20 et le 21 avril.
Les chercheurs de Greynoise ont déclaré avoir observé quatre pointes depuis septembre 2024, chacune impliquant environ 3 000 IP uniques. Ils ont été observés en septembre 2024, décembre 2024, février 2025 et avril 2025.
Bien que le rapport Greynoise ne spécifie pas les causes exactes de ces pointes, quelques facteurs possibles incluent des vulnérabilités divulguées publiquement liées au GIT ou aux outils de développement associés juste avant la pointe, des campagnes de reconnaissance automatisées, des réponses aux configurations GIT exposées ou à des stations préparatoires dans les cyberattaques ciblés.
Les tentatives de Snooping sont originaires du monde entier, avec des pirates de Singapour (4933), des États-Unis (3807), de l’Allemagne (473) et du Royaume-Uni (395) menant ces activités au cours des 90 derniers jours.
Les pirates préférés pour voler des informations d’identification
Les acteurs de la menace ont utilisé cette technique plus tôt dans les opérations à grande échelle. Une campagne de menace signalée en octobre 2024, «Emeraldwhale», scanné pour des fichiers de configuration exposés pour voler plus de 15 000 informations d’identification du compte cloud de milliers de référentiels privés.
Les pirates ont beaucoup trop à gagner des fichiers de configuration GIT exposés. « Dans certains cas, si le répertoire complet .Git est également exposé, les attaquants peuvent être en mesure de reconstruire l’intégralité de la base de code – y compris l’historique des engagements, qui peut contenir des informations confidentielles, des informations d’identification ou une logique sensible », ont déclaré les chercheurs.
La semaine dernière, la chercheuse en cybersécurité Sharon Brizinov a déclaré avoir collecté 64 000 $ en gains de primes de bogues pour trouver des dizaines de référentiels Github exposant toujours les secrets des fichiers supprimés en raison de la rétention par Git des modifications de code et des fichiers associés même après la suppression.
La chaîne de violations d’archives sur Internet d’octobre 2024 aurait été réalisée en utilisant des informations d’identification (secrets de Gitlab) de la même manière. GreyNoise a recommandé de restreindre l’accès du répertoire.
