Los actores de amenaza intensifican el escaneo de Internet para archivos de configuración GIT que pueden revelar secretos confidenciales y tokens de autenticación utilizados para comprometer los servicios en la nube y los estándares de código fuente.
En un nuevo informe de la compañía de vigilancia de amenazas Greynoise, los investigadores registraron un pico masivo en la investigación de las configuraciones de GIT exhibidas entre el 20 y el 20 de abril de 2025.
“Greynoise observó casi 4.800 direcciones IP únicas diariamente del 20 al 21 de abril, marcando un aumento sustancial en comparación con los niveles típicos”. explicó Graynoise en el informe.
“Aunque la actividad se distribuyó en todo el mundo, Singapur ha clasificado tanto como la fuente principal como el destino de las sesiones durante este período, seguido por los Estados Unidos y Alemania como los próximos destinos más comunes”.
.jpg)
Fuente: Graynoise
Los archivos de configuración de GIT son archivos de configuración para proyectos GIT que pueden incluir información de rama, URL de referencia distantes, ganchos y scripts de automatización, y sobre todo, información de identificación y tokens de acceso.
Los desarrolladores o empresas implementan aplicaciones web sin excluir correctamente. Git / Directorios de acceso público, exponiendo inadvertidamente estos archivos a cualquier persona.
El escaneo de estos archivos es una actividad de reconocimiento estándar que ofrece muchas oportunidades para amenazar a los jugadores.
En octubre de 2024, Sysdig informó una operación a gran escala llamada “Emeraldwhalle” que escaneó los archivos de configuración GIT en exhibición, eliminando 15,000 información de identificación de cuentas en la nube de miles de estándares privados.
Vuelo de identificación, claves API, claves privadas de SSH o incluso acceso a URL internas solo permite a los actores de amenaza acceder a datos confidenciales, ataques artesanales hechos a medida y cuentas de desvío privilegiadas.
Este es el método exacto que las partes interesadas de la amenaza usaron para infligir en la “máquina de la máquina” del archivo de Internet en octubre de 2024, luego para mantener su pie a pesar de los esfuerzos del propietario para frustrar los ataques.
Greynoise informa que la actividad reciente está destinada principalmente a Singapur, Estados Unidos, España, Alemania, el Reino Unido e India.
La actividad maliciosa culmina en olas, con cuatro casos notables desde finales de 2024 registrados en noviembre, diciembre, marzo y abril. La más reciente fue la ola de ataque más alta que los investigadores registraron.
Fuente: Graynoise
Para mitigar los riesgos resultantes de estos análisis, se recomienda bloquear el acceso a .git / directorios, para configurar servidores web para evitar el acceso a archivos ocultos, para monitorear los servidores para un acceso sospechoso. Git / config y para rotar información de identificación potencialmente expuesta.
Si los periódicos de acceso al servidor web muestran acceso no autorizado a las configuraciones de Git, toda la información de identificación almacenada allí debe girarse de inmediato.