威胁行为者正在加强对互联网范围内的 Git 配置文件扫描,这些文件可以揭示敏感的秘密和身份验证令牌,这些令牌用于入侵云服务和源代码存储库。
在威胁监控公司 GreyNoise 的一份新报告中,研究人员记录到 2025 年 4 月 20 日至 21 日期间,对泄露的 Git 配置文件的搜索量出现了大幅飙升。
GreyNoise 在报告中解释说 :“GreyNoise 观察到 4 月 20 日至 21 日期间,每天有近 4,800 个独特的 IP 地址,这与典型水平相比有了显著增加。”
“尽管活动遍布全球,但新加坡在此期间的会话来源和目的地均排名第一,其次是美国和德国,是第二常见的目的地。”
参与大规模扫描活动的 IP 地址来源:GreyNoise
Git 配置文件是 Git 项目的配置文件,可以包含分支信息、远程存储库 URL、钩子和自动化脚本,最重要的是,帐户凭据和访问令牌。
开发人员或公司在部署 Web 应用程序时,没有正确地将 .git/ 目录排除在公共访问之外,从而无意中将这些文件暴露给任何人。
扫描这些文件是一种标准的侦察活动,为威胁行为者提供了无数机会。
2024 年 10 月,Sysdig 报告了一项名为“EmeraldWhale”的大规模行动,该行动扫描暴露的 Git 配置文件,从数千个私有存储库中窃取了 15,000 个云账户凭据。
窃取凭据、API 密钥、SSH 私钥,甚至访问仅限内部使用的 URL,允许威胁行为者访问机密数据、制定定制攻击并劫持特权账户。
这正是威胁行为者在 2024 年 10 月用来入侵互联网档案馆 “The Wayback Machine”的方法,然后保持他们的立足点 ,尽管所有者努力阻止这些攻击。
GreyNoise 报告称,最近的活动主要针对新加坡、美国、西班牙、德国、英国和印度。
恶意活动以波次达到高潮,自 2024 年底以来,已记录了四个值得注意的案例,分别在 11 月、12 月、3 月和 4 月。最近的一次是研究人员记录的最高峰值的攻击波。
Git 配置文件扫描波来源:GreyNoise
为了减轻这些扫描带来的风险,建议阻止对 .git/ 目录的访问,配置 Web 服务器以防止访问隐藏文件,监控服务器日志中可疑的 .git/config 访问,并轮换可能暴露的凭据。
如果 Web 服务器访问日志显示未经授权访问 Git 配置,应立即轮换其中存储的任何凭据。
