Une opération malveillante à grande échelle nommée « EmeraldWhale » a analysé les fichiers de configuration Git exposés pour voler plus de 15 000 informations d’identification de compte cloud à partir de milliers de référentiels privés.
Selon Sysdig, qui a découvert la campagne, l’opération implique l’utilisation d’outils automatisés qui analysent les plages d’adresses IP à la recherche de fichiers de configuration Git exposés, qui peuvent inclure des jetons d’authentification.
Ces jetons sont ensuite utilisés pour télécharger des référentiels stockés sur GitHub, GitLab et BitBucket, qui sont analysés à la recherche d’informations d’identification supplémentaires.
Les données volées ont été exfiltrées vers des compartiments Amazon S3 d’autres victimes et ont ensuite été utilisées dans des campagnes de phishing et de spam et vendues directement à d’autres cybercriminels.
Bien que l’exposition des jetons d’authentification Git puisse permettre le vol de données, cela pourrait également entraîner des violations de données à part entière, comme nous l’avons vu récemment avec Internet Archive.
Fichiers de configuration Git exposés
Fichiers de configuration Git, tels que /.git / config ou .gitlab-ci.yml, sont utilisés pour définir diverses options telles que les chemins de référentiel, les branches, les télécommandes et parfois même les informations d’authentification telles que les clés API, les jetons d’accès et les mots de passe.
Les développeurs peuvent inclure ces secrets dans des référentiels privés pour plus de commodité, ce qui facilite les transmissions de données et les interactions API sans configurer ni effectuer d’authentification à chaque fois.
Ce n’est pas risqué tant que le référentiel est correctement isolé de l’accès public. Cependant, si le /.le répertoire git contenant le fichier de configuration est exposé par erreur sur un site Web, les acteurs de la menace utilisant des scanners pourraient facilement les localiser et les lire.
Si ces fichiers de configuration volés contiennent des jetons d’authentification, ils peuvent être utilisés pour télécharger le code source associé, les bases de données et d’autres ressources confidentielles non destinées à un accès public.
Les acteurs de la menace derrière EmeraldWhale utilisent des outils open source tels que « httpx » et « Masscan » pour analyser les sites Web hébergés sur environ 500 millions d’adresses IP divisées en 12 000 plages d’adresses IP.
Sysdig dit que les pirates ont même créé des fichiers répertoriant toutes les adresses IPv4 possibles, couvrant plus de 4,2 milliards d’entrées, pour rationaliser les futures analyses.
Les analyses vérifient simplement si le /.fichier git / config et fichiers d’environnement (.env) dans les applications Laravel sont exposées, qui peuvent également contenir des clés API et des informations d’identification cloud.
Une fois qu’une exposition est identifiée, les jetons sont vérifiés à l’aide de commandes « curl » vers diverses API et, s’ils sont valides, sont utilisés pour télécharger des référentiels privés.
Ces référentiels téléchargés sont à nouveau analysés à la recherche de secrets d’authentification pour AWS, les plates-formes cloud et les fournisseurs de services de messagerie. Les auteurs de la menace ont utilisé les jetons d’authentification exposés pour les plates-formes de messagerie afin de mener des campagnes de spam et de phishing.
Sysdig a observé l’utilisation de deux ensembles d’outils de base pour rationaliser ce processus à grande échelle, à savoir MZR V2 (Mizaru) et Seyzo-v2.
Pour Laravel, l’outil Multigrabber v8.5 a été utilisé pour rechercher des domaines .env fichiers, les voler, puis classer les informations en fonction de leur potentiel d’utilisabilité.
Évaluation des données volées
Sysdig a examiné le compartiment S3 exposé et y a trouvé un téraoctet de secrets, y compris des informations d’identification volées et des données de journalisation.
Sur la base des données collectées, Emerald Whale a volé 15 000 informations d’identification cloud à partir de 67 000 URL qui exposaient des fichiers de configuration.
Parmi les URL exposées, 28 000 correspondaient à des référentiels Git, 6 000 étaient des jetons GitHub et 2 000 notables ont été validés en tant qu’informations d’identification actives.
Outre les principales plates-formes telles que GitHub, GitLab et BitBucket, les pirates ont également ciblé 3 500 dépôts plus petits appartenant à de petites équipes et à des développeurs individuels.
Sysdig dit que de simples listes d’URL pointant vers des fichiers de configuration Git exposés sont vendues sur Telegram pour environ 100$, mais ceux qui exfiltrent les secrets et les valident ont des opportunités de monétisation beaucoup plus importantes.
Les chercheurs notent que cette campagne n’est pas particulièrement sophistiquée, repose sur des outils de base et l’automatisation, mais a quand même réussi à voler des milliers de secrets qui peuvent potentiellement conduire à des violations de données catastrophiques.
Les développeurs de logiciels peuvent atténuer le risque en utilisant des outils de gestion des secrets dédiés pour stocker leurs secrets et en utilisant des variables d’environnement pour configurer les paramètres sensibles au moment de l’exécution au lieu de les coder en dur dans les fichiers de configuration Git.