Atores de ameaças estão intensificando a varredura na internet por arquivos de configuração Git que podem revelar segredos sensíveis e tokens de autenticação usados para comprometer serviços na nuvem e repositórios de código-fonte.
Em um novo relatório da firma de monitoramento de ameaças GreyNoise, pesquisadores registraram um pico massivo nas buscas por configurações Git expostas entre 20 e 21 de abril de 2025.
"A GreyNoise observou quase 4.800 endereços IP únicos diariamente de 20 a 21 de abril, marcando um aumento substancial comparado aos níveis típicos," explicou a GreyNoise no relatório.
Embora a atividade tenha sido distribuída globalmente, Cingapura se classificou como a principal fonte e destino para as sessões durante este período, seguido pelos EUA e Alemanha como os próximos destinos mais comuns.
Os arquivos de configuração Git são arquivos de configuração para projetos Git que podem incluir informações de ramificação, URLs de repositórios remotos, ganchos e scripts de automação, e mais importante, credenciais de conta e tokens de acesso.
Desenvolvedores ou empresas que implantam aplicações web sem excluir corretamente os diretórios .git/ do acesso público, inadvertidamente expõem esses arquivos a qualquer um.
A varredura desses arquivos é uma atividade de reconhecimento padrão que oferece numerosas oportunidades para atores de ameaças.
Em outubro de 2024, a Sysdig reportou sobre uma operação em grande escala denominada "EmeraldWhale", que varreu por arquivos de configuração Git expostos, capturando 15.000 credenciais de contas na nuvem de milhares de repositórios privados.
Roubar credenciais, chaves API, chaves privadas SSH ou até mesmo acessar URLs apenas internas permite aos atores de ameaças acessar dados confidenciais, elaborar ataques sob medida e sequestrar contas privilegiadas.
Esse é o exato método que os atores de ameaças usaram para invadir a "The Wayback Machine" do Internet Archive em outubro de 2024 e, então, manter seu ponto de apoio apesar dos esforços do proprietário para impedir os ataques.
A GreyNoise relata que a atividade recente é majoritariamente direcionada a Cingapura, Estados Unidos, Espanha, Alemanha, Reino Unido e Índia.
A atividade maliciosa culmina em ondas, com quatro casos notáveis desde o final de 2024 sendo registrados em novembro, dezembro, março e abril.
O mais recente foi a onda de ataque de maior volume que os pesquisadores registraram.
Para mitigar os riscos que surgem dessas varreduras, é recomendado bloquear o acesso aos diretórios .git/, configurar servidores web para prevenir o acesso a arquivos ocultos, monitorar logs do servidor para acesso suspeito a .git/config e rotacionar credenciais potencialmente expostas.
Se logs de acesso do servidor web mostrarem acesso não autorizado aos configs Git, quaisquer credenciais armazenadas dentro deles devem ser rotacionadas imediatamente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...