Peneliti keamanan siber telah menandai kampanye “besar-besaran” yang menargetkan konfigurasi Git yang terekspos untuk menyedot kredensial, mengkloning repositori pribadi, dan bahkan mengekstrak kredensial cloud dari kode sumber.
Aktivitas tersebut, diberi nama kode PAUS EMERALDdiperkirakan telah mengumpulkan lebih dari 10.000 repositori pribadi dan disimpan dalam bucket penyimpanan Amazon S3 milik korban sebelumnya. Ember tersebut, yang berisi tidak kurang dari 15.000 kredensial yang dicuri, telah dihapus oleh Amazon.
“Kredensial yang dicuri adalah milik Penyedia Layanan Cloud (CSP), penyedia email, dan layanan lainnya,” kata Sysdig dalam sebuah laporan. “Phishing dan spam tampaknya menjadi tujuan utama mencuri kredensial.”
Operasi kriminal multi-segi ini, meskipun tidak canggih, ditemukan memanfaatkan gudang alat pribadi untuk mencuri kredensial serta mengikis file konfigurasi Git, file Laravel .env, dan data web mentah. Hal ini belum dikaitkan dengan aktor atau kelompok ancaman mana pun yang diketahui.
Menargetkan server dengan file konfigurasi repositori Git yang terekspos menggunakan rentang alamat IP yang luas, perangkat yang diadopsi oleh EMERALDWHALE memungkinkan penemuan host yang relevan serta ekstraksi dan validasi kredensial.
Token yang dicuri ini kemudian digunakan untuk mengkloning repositori publik dan swasta dan mengambil lebih banyak kredensial yang tertanam dalam kode sumber. Informasi yang diambil akhirnya diunggah ke bucket S3.
Dua program terkemuka yang digunakan pelaku ancaman untuk mewujudkan tujuannya adalah MZR V2 dan Seyzo-v2, yang dijual di pasar bawah tanah dan mampu menerima daftar alamat IP sebagai masukan untuk pemindaian dan eksploitasi repositori Git yang terbuka.
Daftar ini biasanya disusun menggunakan mesin pencari yang sah seperti Google Dorks dan Shodan dan utilitas pemindaian seperti MASSCAN.
Terlebih lagi, analisis Sysdig menemukan bahwa daftar yang terdiri lebih dari 67.000 URL dengan jalur “/.git/config” ditawarkan untuk dijual melalui Telegram seharga $100, menandakan bahwa terdapat pasar untuk file konfigurasi Git.
“EMERALDWHALE, selain menargetkan file konfigurasi Git, juga menargetkan file lingkungan Laravel yang terekspos,” kata peneliti Sysdig, Miguel Hernández. “File .env berisi banyak kredensial, termasuk penyedia layanan cloud dan database.”
“Pasar rahasia untuk kredensial sedang booming, terutama untuk layanan cloud. Serangan ini menunjukkan bahwa manajemen rahasia saja tidak cukup untuk mengamankan lingkungan.”