В последние дни специалисты по цифровой безопасности зафиксировали тревожный всплеск активности, связанной с попытками получить доступ к конфигурационным файлам Git-репозиториев.
GreyNoise, международной платформы анализа угроз, за два дня — 20 и 21 апреля — количество уникальных IP-адресов, сканировавших .git/config, превысило 4800. Это рекордное значение за всё время наблюдений и однозначный сигнал: интерес злоумышленников к уязвимым системам с Git-репозиториями стремительно растёт.
Хотя речь не идёт о новой уязвимости, исследователи предупреждают, что киберпреступники могут использовать уже известные слабые места, в частности . Эта связана с ошибочной конфигурацией веб-серверов, из-за которой .git-директория становится доступной извне. В случае её эксплуатации злоумышленник способен скачать весь репозиторий, включая историю коммитов, файлы конфигурации и, что особенно опасно, встроенные учётные данные.
По данным GreyNoise, 95% IP-адресов, замеченных в попытках получить доступ к .git за последние 90 дней, классифицируются как вредоносные. География активности охватывает почти все регионы мира, но наибольшая плотность зафиксирована в Азии.
Интересно, что многие подозрительные IP-адреса принадлежат крупнейшим облачным провайдерам: Cloudflare, Amazon и DigitalOcean. Это свидетельствует о том, что злоумышленники активно используют масштабируемую инфраструктуру, чтобы маскироваться и усиливать разведывательные атаки.
По информации GreyNoise, текущая волна — четвёртая с сентября 2024 года, но она значительно превзошла все предыдущие по масштабам. Ранее пиковые значения не превышали 3000 уникальных IP-адресов, теперь же количество запросов за два дня почти в полтора раза выше.
Открытый доступ к .git/config — это не просто техническая оплошность. Он может раскрыть структуру веток разработки, внутренние ссылки на репозитории, метаданные об авторстве и даже конфиденциальные данные, которые случайно оказались в истории коммитов. В 2024 году подобная ошибка привела к утечке 15 тысяч учётных записей и клонированию 10 тысяч закрытых репозиториев.
Специалисты настаивают на немедленных мерах защиты. В первую очередь необходимо убедиться, что директория .git не доступна через веб-сервер. Важно заблокировать доступ к скрытым файлам и каталогам на уровне конфигурации, настроить мониторинг логов на повторяющиеся обращения к .git/config и, в случае обнаружения компрометации, оперативно менять все вовлечённые учётные данные.
Организациям, использующим Git в своей разработке, стоит рассматривать подобные сканирования как прямую угрозу безопасности исходного кода. Чем раньше закрыть уязвимые места, тем выше шанс избежать серьёзных последствий.
GreyNoise, международной платформы анализа угроз, за два дня — 20 и 21 апреля — количество уникальных IP-адресов, сканировавших .git/config, превысило 4800. Это рекордное значение за всё время наблюдений и однозначный сигнал: интерес злоумышленников к уязвимым системам с Git-репозиториями стремительно растёт.
Хотя речь не идёт о новой уязвимости, исследователи предупреждают, что киберпреступники могут использовать уже известные слабые места, в частности . Эта связана с ошибочной конфигурацией веб-серверов, из-за которой .git-директория становится доступной извне. В случае её эксплуатации злоумышленник способен скачать весь репозиторий, включая историю коммитов, файлы конфигурации и, что особенно опасно, встроенные учётные данные.
По данным GreyNoise, 95% IP-адресов, замеченных в попытках получить доступ к .git за последние 90 дней, классифицируются как вредоносные. География активности охватывает почти все регионы мира, но наибольшая плотность зафиксирована в Азии.
Интересно, что многие подозрительные IP-адреса принадлежат крупнейшим облачным провайдерам: Cloudflare, Amazon и DigitalOcean. Это свидетельствует о том, что злоумышленники активно используют масштабируемую инфраструктуру, чтобы маскироваться и усиливать разведывательные атаки.
По информации GreyNoise, текущая волна — четвёртая с сентября 2024 года, но она значительно превзошла все предыдущие по масштабам. Ранее пиковые значения не превышали 3000 уникальных IP-адресов, теперь же количество запросов за два дня почти в полтора раза выше.
Открытый доступ к .git/config — это не просто техническая оплошность. Он может раскрыть структуру веток разработки, внутренние ссылки на репозитории, метаданные об авторстве и даже конфиденциальные данные, которые случайно оказались в истории коммитов. В 2024 году подобная ошибка привела к утечке 15 тысяч учётных записей и клонированию 10 тысяч закрытых репозиториев.
Специалисты настаивают на немедленных мерах защиты. В первую очередь необходимо убедиться, что директория .git не доступна через веб-сервер. Важно заблокировать доступ к скрытым файлам и каталогам на уровне конфигурации, настроить мониторинг логов на повторяющиеся обращения к .git/config и, в случае обнаружения компрометации, оперативно менять все вовлечённые учётные данные.
Организациям, использующим Git в своей разработке, стоит рассматривать подобные сканирования как прямую угрозу безопасности исходного кода. Чем раньше закрыть уязвимые места, тем выше шанс избежать серьёзных последствий.
