Un'importante violazione della sicurezza ha colpito i repository Git, esponendo oltre 15,000 credenziali e clonando 10,000 repository privati. Questa campagna, denominata EMERALDWHALE, è stata scoperta da ricercatori nel campo della cybersecurity e ha coinvolto l'uso di configurazioni Git esposte per rubare credenziali, clonare repository privati e persino estrarre credenziali cloud direttamente dal codice sorgente. Gli attacchi hanno portato alla raccolta di oltre 10,000 repository privati, che sono stati poi archiviati in un bucket Amazon S3 appartenente a una vittima precedente. Amazon ha successivamente rimosso il bucket, che conteneva almeno 15,000 credenziali rubate.

Dettagli dell'Attacco

Le credenziali rubate appartengono a fornitori di servizi cloud, provider di email e altri servizi, con phishing e spam come obiettivi principali del furto. Sebbene l'operazione criminale non sia particolarmente sofisticata, ha utilizzato strumenti privati per sottrarre credenziali e raccogliere file di configurazione Git, file Laravel .env e dati web grezzi. Non è stata attribuita a nessun gruppo o attore di minacce noto. La strategia di EMERALDWHALE ha incluso l'uso di strumenti per scansionare ampi intervalli di indirizzi IP allo scopo di trovare configurazioni Git esposte e estrarre e validare credenziali. Le credenziali rubate sono state poi utilizzate per clonare repository pubblici e privati, raccogliendo ulteriori credenziali trovate nel codice sorgente. Le informazioni catturate sono state infine caricate nel bucket S3.

Strumenti Utilizzati

Due strumenti principali utilizzati da EMERALDWHALE sono MZR V2 e Seyzo-v2, venduti nei mercati sotterranei, capaci di accettare liste di indirizzi IP come input per la scansione e lo sfruttamento di repository Git esposti. Queste liste sono generalmente compilate usando motori di ricerca legittimi come Google Dorks e Shodan, oltre a strumenti di scansione come MASSCAN. Inoltre, l'analisi di Sysdig ha rivelato che una lista contenente più di 67,000 URL con il percorso "/.git/config" esposto viene offerta in vendita su Telegram per 100 dollari, indicando l'esistenza di un mercato per i file di configurazione Git. EMERALDWHALE non si è limitato a puntare sui file di configurazione Git, ma ha anche mirato ai file di ambiente Laravel esposti, che contengono un'ampia gamma di credenziali, inclusi i fornitori di servizi cloud e i database.

Considerazioni Finali

Il mercato sotterraneo delle credenziali è in forte espansione, specialmente per i servizi cloud. Questo attacco dimostra che la sola gestione dei segreti non è sufficiente per garantire un ambiente sicuro.