Uma operação de hackers chamada "EmeraldWhale" foi descoberta roubando mais de 15 mil credenciais de contas em nuvem, explorando arquivos de configuração do Git expostos. Usando ferramentas automatizadas como httpx e Masscan, os criminosos escanearam milhões de endereços IP em busca de arquivos como /.git/config e .env, que frequentemente contêm tokens de autenticação e outras informações sensíveis. Quando esses arquivos estão desprotegidos, podem ser facilmente acessados e usados para roubar repositórios privados.
Esses repositórios muitas vezes incluem informações críticas, como códigos-fonte, credenciais de acesso a bancos de dados, e até chaves para serviços em nuvem. Após coletar esses dados, os hackers os utilizam em campanhas de phishing e spam ou os vendem a outros criminosos, ampliando o impacto dos ataques. A operação até armazenou os dados roubados em buckets S3 de outras vítimas, dificultando o rastreamento da origem dos ataques.
Os hackers utilizam ferramentas acessíveis e gratuitas para escanear a web e validar os tokens coletados. Por exemplo, comandos curl são usados para testar a validade das credenciais em APIs conhecidas. Ferramentas como o MZR V2 e o Seyzo-v2 foram fundamentais para automatizar esse processo em larga escala. No caso de aplicações Laravel, a ferramenta Multigrabber foi usada para buscar e organizar informações extraídas de arquivos .env.
Os números são alarmantes: de 67 mil URLs expostas, 28 mil eram repositórios Git, com 6 mil tokens de GitHub roubados. Desses, pelo menos 2 mil ainda estavam ativos no momento da descoberta. Além disso, pequenos repositórios e equipes menores foram alvos frequentes, mostrando que ninguém está imune.
O mais preocupante é que essa campanha não usou técnicas avançadas. Em vez disso, aproveitou vulnerabilidades simples, mas comuns, causadas por má configuração e falta de atenção à segurança. Listas de URLs com esses arquivos expostos são vendidas por preços baixos, mas os hackers que validam e utilizam as credenciais conseguem lucros muito maiores.
Para evitar esse tipo de incidente, os desenvolvedores devem evitar armazenar informações sensíveis diretamente em arquivos de configuração. Ferramentas de gerenciamento de segredos, variáveis de ambiente e boas práticas de isolamento de repositórios privados são fundamentais para reduzir os riscos.
Esses ataques mostram como a negligência com configurações simples pode gerar brechas enormes. Ao proteger corretamente arquivos e usar boas práticas de segurança, é possível evitar danos catastróficos causados por campanhas como a EmeraldWhale.
.%20A%20smartphone%20is%20shown%20with%20a%20suspicious%20text%20message.webp)
Nenhum comentário:
Postar um comentário
Não é preciso ser criativo. Não é preciso ser técnico. Pode discordar. Pode concordar também. Só não vale ofender, xingar, usar o espaço para outro fim se não o de comentar o post. Agradeço antecipadamente por sua contribuição!