Μία αξιοσημείωτη αύξηση στις κακόβουλες σαρώσεις για εκτεθειμένα αρχεία ρυθμίσεων Git από χάκερ έχει παρατηρηθεί, γεγονός που ενέχει σοβαρούς κινδύνους για την κλοπή πηγαίου κώδικα και την έκθεση διαπιστευτηρίων για τους οργανισμούς παγκοσμίως.
Δείτε επίσης: Κυβερνητικοί χάκερ εκμεταλλεύονται τα περισσότερα zero-day
Ερευνητές ασφαλείας της GreyNoise Intelligence έχουν καταγράψει ένα ιστορικό ρεκόρ δραστηριότητας ανίχνευσης αρχείων Git, με περίπου 4.800 μοναδικές διευθύνσεις IP να στοχεύουν καθημερινά αυτά τα ευαίσθητα αρχεία στις 20 και 21 Απριλίου 2025. Το τελευταίο κύμα επιθέσεων αποτελεί το μεγαλύτερο από τα τέσσερα διακριτά κύματα που έχουν παρατηρηθεί από τον Σεπτέμβριο του 2024. Οι προηγούμενες αυξήσεις περιλάμβαναν περίπου 3.000 μοναδικές IP, γεγονός που καθιστά την παρούσα εκστρατεία σημαντικά πιο εκτεταμένη.
Η δραστηριότητα των χάκερ, παρακολουθείται υπό την ετικέτα GreyNoise Git Config Crawler, η οποία αναγνωρίζει IP διευθύνσεις που σαρώνουν για ευαίσθητα αρχεία ρυθμίσεων Git. Αν και η δραστηριότητα σάρωσης είναι γεωγραφικά κατανεμημένη παγκοσμίως, η Σιγκαπούρη έχει αναδειχθεί ως η κύρια πηγή και ταυτόχρονα προορισμός αυτών των επιθέσεων, με τις Ηνωμένες Πολιτείες και τη Γερμανία να ακολουθούν.
Η κακόβουλη κίνηση προέρχεται από νόμιμες υποδομές cloud, με πολλές IP διευθύνσεις να συνδέονται με παρόχους όπως οι Cloudflare, Amazon και DigitalOcean. Οι επιθέσεις στοχεύουν αρχεία .git/config, τα οποία περιέχουν κρίσιμες πληροφορίες για τα αποθετήρια. Όταν αυτά τα αρχεία είναι εκτεθειμένα, μπορούν να αποκαλύψουν:
- Διευθύνσεις απομακρυσμένων αποθετηρίων (όπως GitHub ή GitLab)
- Δομές και ονοματολογία κλάδων (branches)
- Μεταδεδομένα που σχετίζονται με εσωτερικές διαδικασίες ανάπτυξης
Δείτε ακόμα: Χάκερ πωλούν το προηγμένο HiddenMiner σε φόρουμ Dark Web
Ακόμη πιο ανησυχητικό είναι το γεγονός ότι επιτιθέμενοι που αποκτούν πρόσβαση σε ολόκληρο τον κατάλογο .git μπορούν δυνητικά να ανασυνθέσουν ολόκληρες βάσεις κώδικα, συμπεριλαμβανομένου του ιστορικού αλλαγών (commit history), το οποίο ενδέχεται να περιέχει διαπιστευτήρια και ευαίσθητη επιχειρησιακή λογική.
Παρόμοια παραβίαση το 2024 οδήγησε στην έκθεση 15.000 διαπιστευτηρίων και στην αντιγραφή 10.000 ιδιωτικών αποθετηρίων.
Η τρέχουσα κακόβουλη εκστρατεία φαίνεται να σχετίζεται με την ευπάθεια CVE-2021-23263, την οποία οι ερευνητές ασφαλείας παρακολουθούν από τη δημοσίευσή της τον Δεκέμβριο του 2021. Αυτή η σύνδεση υποδηλώνει ότι οι επιτιθέμενοι στοχεύουν συστήματα που παραμένουν μη επιδιορθωμένα, παρά το γεγονός ότι η ευπάθεια είναι γνωστή εδώ και χρόνια.
Δείτε επίσης: Οι hackers Lazarus παραβίασαν έξι οργανισμούς στη Νότια Κορέα
Αυτό που προκύπτει από την αυξημένη δραστηριότητα των χάκερ, είναι η ανάγκη για ασφαλή διαχείριση των Git repositories σε περιβάλλοντα παραγωγής και ανάπτυξης. Τα αρχεία και οι φάκελοι Git (όπως το .git/config και ολόκληρος ο κατάλογος .git/) δεν πρέπει ποτέ να είναι προσβάσιμοι μέσω διαδικτύου, ειδικά όταν φιλοξενούνται σε web servers ή cloud περιβάλλοντα.
Πηγή: cybersecuritynews
