在网络安全领域，凭证泄露一直是企业和个人面临的主要威胁之一。最近，Sysdig的研究人员发现了一起大规模的Git配置泄露事件，暴露了超过15,000个凭证，并导致10,000多个私有仓库被克隆。这一事件再次提醒我们，网络安全不仅仅是技术问题，更是管理和意识的问题。

Sysdig的研究报告指出，这次名为EMERALDWHALE的攻击活动主要针对暴露的Git配置文件，通过扫描和验证这些文件中的凭证，攻击者能够访问大量的私有仓库。这些凭证不仅包括云服务提供商的登录信息，还包括电子邮件服务和其他服务的凭证。研究人员认为，这些凭证很可能被用于未来的钓鱼和垃圾邮件活动。

EMERALDWHALE并不是一个特别复杂的操作，但它成功地收集了超过15,000个凭证。与以往的攻击不同，这次攻击的目标是暴露的Git配置文件。这些文件及其包含的凭证提供了访问私有仓库的权限，而这些仓库通常是难以访问的。

根据S3存储桶的日志数据，研究人员推测这次攻击活动从8月持续到9月，攻击者正在收集这些信息用于垃圾邮件和钓鱼活动。存储桶中包含超过1TB的数据，其中包括恶意工具、有价值的被盗凭证、Git配置文件以及其他与Web应用程序设置相关的敏感配置文件。

Sysdig的研究人员指出，凭证在地下市场上有相当高的价值，尤其是云服务的凭证。他们还发现，互联网上暴露的Git仓库列表每个可以卖到100美元。这表明，凭证市场正在蓬勃发展，尤其是在云服务领域。

暴露的Git目录可能包含敏感的项目信息，包括消息、用户名、电子邮件地址、密码或API密钥。这些信息可以被用于进一步的攻击，或者在市场上出售。Sysdig的研究人员写道：“这些凭证本身每个账户的价值可能高达数百美元。攻击者不仅通过账户本身赚钱，他们开发的攻击目标列表也可以在各种市场上出售。”

攻击者使用了多种工具集，这些工具在地下市场上出售，能够自动发现和验证凭证，然后将它们上传到S3存储桶。这些工具主要针对GitHub、BitBucket和GitLab等主要服务。尽管由于频繁的扫描，滥用仓库凭证对犯罪黑客来说变得更加困难，但这次活动显示了完全保护敏感数据是多么困难。

Sysdig的研究人员还指出，这类活动所需的努力非常少，几乎所有事情都可以自动化，工具运行在临时系统上使得归因更加困难。不仅如此，潜在的攻击者可以轻松地在GitHub上找到这些工具，或者购买相关课程。

“对于攻击者来说，这是快速的收入来源。他们确认有效的密钥，并将它们打包或自动出售，这些网站和Telegram机器人不需要任何交互，”报告指出。

Sysdig表示，这次活动突显了一个事实：仅靠秘密管理不足以保护环境。凭证可能泄露的地方实在太多了。

这次大规模的Git配置泄露事件再次提醒我们，网络安全不仅仅是技术问题，更是管理和意识的问题。企业和个人需要加强对敏感信息的保护，尤其是在云服务和Git配置文件的管理上。只有通过不断的教育和培训，提高安全意识，才能有效减少此类事件的发生。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！