Un grupo de investigadores en ciberseguridad ha descubierto una campaña masiva que se aprovecha de configuraciones inseguras de Git, esté es un sistema de control de versiones que permite a los desarrolladores gestionar y coordinar cambios en el código fuente. Los atacantes aprovecharon estas configuraciones para robar credenciales y clonar repositorios privados. El ataque, conocido como EMERALDWHALE, afectó a más de 10.000 repositorios que se encontraban en un servidor de Amazon sin la debida protección.
Amazon detectó la actividad sospechosa y eliminó el servidor, que contenía más de 15.000 credenciales robadas.
Las credenciales robadas incluyen datos de acceso a servicios en la nube, proveedores de correo electrónico y otros servicios. Según la empresa Sysdig, el objetivo principal de los atacantes es utilizar estas credenciales para realizar ataques de phishing y enviar spam.
Aunque el ataque no es muy sofisticado, los criminales han utilizado herramientas para buscar archivos de configuración de Git y archivos de entorno .env de Laravel, donde suelen almacenarse datos importantes. Por ahora, no se ha relacionado esta operación con ningún grupo de hackers conocido.
El equipo detrás de EMERALDWHALE utiliza herramientas para encontrar servidores con archivos de configuración expuestos y robar las credenciales. Luego, usan esas credenciales para clonar repositorios, tanto públicos como privados, y acceder a más información sensible.
Usan programas como MZR V2 y Seyzo-v2, que se venden en mercados clandestinos, para buscar repositorios vulnerables.
Además, se ha descubierto que una lista con más de 67.000 URLs que incluyen la ruta .git/config se está vendiendo a través de Telegram, lo cual muestra que hay un mercado activo para este tipo de datos.
El mercado negro de credenciales está creciendo rápidamente, especialmente en lo relacionado con servicios en la nube. Este ataque muestra que sólo gestionar las contraseñas de manera adecuada no es suficiente para asegurar un entorno digital.
Más información:
- Massive Git Config Breach Exposes 15,000 Credentials; 10,000 Private Repos Cloned: https://thehackernews.com/2024/11/massive-git-config-breach-exposes-15000.html
- EMERALDWHALE: 15k Cloud Credentials Stolen in Operation Targeting Exposed Git Config Files: https://sysdig.com/blog/emeraldwhale
- Massive cloud credential theft conducted via exposed Git configuration breach: https://www.scworld.com/brief/massive-cloud-credential-theft-conducted-via-exposed-git-configuration-breach
Deja una respuesta