Les auteurs de menaces intensifient l’analyse à l’échelle d’Internet des fichiers de configuration Git susceptibles de révéler des secrets sensibles et des jetons d’authentification utilisés pour compromettre les services cloud et les référentiels de code source.
Dans un nouveau rapport de la société de surveillance des menaces Grey Noise, les chercheurs ont enregistré un pic massif de recherches de configurations Git exposées entre le 20 et le 21 avril 2025.
« »Le bruit gris a observé près de 4 800 adresses IP uniques par jour du 20 au 21 avril, marquant une augmentation substantielle par rapport aux niveaux typiques », a expliqué GreyNoise dans le rapport.
« Bien que l’activité ait été répartie à l’échelle mondiale, Singapour s’est classée à la fois comme la principale source et destination des sessions au cours de cette période, suivie des États-Unis et de l’Allemagne comme les prochaines destinations les plus courantes. »
Les fichiers de configuration Git sont des fichiers de configuration pour les projets Git qui peuvent inclure des informations de branche, des URL de référentiel distant, des hooks et des scripts d’automatisation, et surtout, des informations d’identification de compte et des jetons d’accès.
Les développeurs ou les entreprises déploient des applications Web sans exclure correctement .git/ répertoires d’accès public, exposant par inadvertance ces fichiers à n’importe qui.
L’analyse de ces fichiers est une activité de reconnaissance standard qui offre de nombreuses opportunités aux auteurs de menaces.
En octobre 2024, Sysdig a signalé une opération à grande échelle nommée « EmeraldWhale » qui a analysé les fichiers de configuration Git exposés, récupérant 15 000 informations d’identification de compte cloud à partir de milliers de référentiels privés.
Voler des informations d’identification, des clés API, des clés privées SSH ou même accéder à des URL internes uniquement permet aux auteurs de menaces d’accéder à des données confidentielles, de créer des attaques personnalisées et de détourner des comptes privilégiés.
C’est exactement la méthode que les auteurs de menaces ont utilisée pour violer la « Wayback Machine » d’Internet Archive en octobre 2024, puis maintenir leur emprise malgré les efforts du propriétaire pour contrecarrer les attaques.
GreyNoise rapporte que l’activité récente est principalement ciblée sur Singapour, les États-Unis, l’Espagne, l’Allemagne, le Royaume-Uni et l’Inde.
L’activité malveillante culmine par vagues, avec quatre cas notables depuis la fin de 2024 enregistrés en Novembre, Décembre, Mars et avril. La plus récente était la vague d’attaque la plus volumineuse enregistrée par les chercheurs.
Pour atténuer les risques liés à ces analyses, il est recommandé de bloquer l’accès à .git / répertoires, configurer les serveurs Web pour empêcher l’accès aux fichiers cachés, surveiller les journaux du serveur pour les suspects .accédez à git / config et faites pivoter les informations d’identification potentiellement exposées.
Si les journaux d’accès au serveur Web montrent un accès non autorisé à Git config, toutes les informations d’identification stockées dans ceux-ci doivent être pivotées immédiatement.