Fuga de credenciales y repositorios en Git

Fecha de actualizacion 30/10/2024

30/10/2024

El equipo Sysdig Threat Research Team (TRT) ha descubierto la operación global bautizada como EMERALDWHALE, que ha resultado en el robo de 15.000 credenciales de repositorios, tanto públicos como privados, de Git. Aunque el objetivo es emplear estas credenciales para campañas de phishing y spam, se ha descubierto además una lista con más de 67.000 URLs que incluyen información expuesta de la ruta /.git/config y que se está vendiendo a través de Telegram, lo cual muestra que hay un mercado activo para este tipo de datos.

Adicionalmente, esta investigación reportó que EMERALDWHALE no sólo buscaba servidores mal configurados y credenciales expuestas, sino que también utilizaba web scraping seguido de la extracción de credenciales cloud en los activos recopilados.

La información sustraída estaba alojada en un bucket S3 de AWS y pertenece a varios CSP (proveedores de servicios cloud), proveedores de correo electrónico y otros servicios. EMERALDWHALE empleó las herramientas MZR V2 (MIZARU) y Seyzo-v2, con las que obtuvo más de 500 millones de direcciones IP distribuida en 12.000 rangos, unos 500.000 dominios y alrededor de 1 millón de EC2 hostnames.

Referencias

30/10/2024

sysdig.com

EMERALDWHALE: 15k Cloud Credentials Stolen in Operation Targeting Exposed Git Config Files
31/10/2024

scworld.com

Massive cloud credential theft conducted via exposed Git configuration breach
01/11/2024

thehackernews.com

Massive Git Config Breach Exposes 15,000 Credentials; 10,000 Private Repos Cloned
05/11/2024

unaaldia.hispasec.com

Brecha masiva en Git: 15,000 Credenciales Robadas y 10,000 Repositorios Privados en Riesgo

Etiquetas