Git под прицелом: хакеры превратили облака в снайперские гнёзда

В последние дни специалисты по цифровой безопасности зафиксировали тревожный всплеск активности, связанной с попытками получить доступ к конфигурационным файлам Git-репозиториев. По данным GreyNoise, международной платформы анализа угроз, за два дня — 20 и 21 апреля — количество уникальных IP-адресов, сканировавших .git/config, превысило 4800. Это рекордное значение за всё время наблюдений и однозначный сигнал: интерес злоумышленников к уязвимым системам с Git-репозиториями стремительно растёт.

Хотя речь не идёт о новой уязвимости, исследователи предупреждают, что киберпреступники могут использовать уже известные слабые места, в частности CVE-2021-23263 . Эта уязвимость связана с ошибочной конфигурацией веб-серверов, из-за которой .git-директория становится доступной извне. В случае её эксплуатации злоумышленник способен скачать весь репозиторий, включая историю коммитов, файлы конфигурации и, что особенно опасно, встроенные учётные данные.

По данным GreyNoise, 95% IP-адресов, замеченных в попытках получить доступ к .git за последние 90 дней, классифицируются как вредоносные. География активности охватывает почти все регионы мира, но наибольшая плотность зафиксирована в Азии. Особенно выделяется Сингапур, ставший одновременно главным источником и основной целью подобных сканирований. На втором месте по активности — США, далее следуют Германия, Великобритания и Индия.

Интересно, что многие подозрительные IP-адреса принадлежат крупнейшим облачным провайдерам: Cloudflare, Amazon и DigitalOcean. Это свидетельствует о том, что злоумышленники активно используют масштабируемую инфраструктуру, чтобы маскироваться и усиливать разведывательные атаки.

По информации GreyNoise, текущая волна — четвёртая с сентября 2024 года, но она значительно превзошла все предыдущие по масштабам. Ранее пиковые значения не превышали 3000 уникальных IP-адресов, теперь же количество запросов за два дня почти в полтора раза выше.

Открытый доступ к .git/config — это не просто техническая оплошность. Он может раскрыть структуру веток разработки, внутренние ссылки на репозитории, метаданные об авторстве и даже конфиденциальные данные, которые случайно оказались в истории коммитов. В 2024 году подобная ошибка привела к утечке 15 тысяч учётных записей и клонированию 10 тысяч закрытых репозиториев.

Специалисты настаивают на немедленных мерах защиты. В первую очередь необходимо убедиться, что директория .git не доступна через веб-сервер. Важно заблокировать доступ к скрытым файлам и каталогам на уровне конфигурации, настроить мониторинг логов на повторяющиеся обращения к .git/config и, в случае обнаружения компрометации, оперативно менять все вовлечённые учётные данные.

Организациям, использующим Git в своей разработке, стоит рассматривать подобные сканирования как прямую угрозу безопасности исходного кода. Чем раньше закрыть уязвимые места, тем выше шанс избежать серьёзных последствий.