.git/config — новая дверь в облако: одна директория рушит DevOps-инфраструктуру

Хакерские группы активизировали глобальную охоту за файлами конфигурации Git, способными раскрыть чувствительные данные и предоставить прямой доступ к облачным сервисам, приватным репозиториям и даже внутренним процессам разработки. По данным GreyNoise, с 20 по 21 апреля 2025 года зафиксирована самая масштабная волна такого сканирования — почти 4800 уникальных IP-адресов всего за двое суток.

Резкий всплеск активности охватил весь мир, но особенно выделился Сингапур: он оказался лидером как по числу источников, так и по количеству целевых систем. Далее следуют США и Германия. Наиболее часто атаки исходили с IP-адресов, связанных с облачными инфраструктурами Amazon Web Services, Cloudflare и DigitalOcean. Все IP были реальными — подмены или спуфинга не обнаружено. За последние 90 дней 95% адресов, замешанных в подобных действиях, классифицируются как злонамеренные.

Git-конфигурации становятся опасными, когда попадают в публичный доступ. Файл .git/config может содержать адреса удалённых репозиториев, структуру веток, настройки автосборки и, что особенно тревожно, — ключи API, токены, логины и пароли. Если разработчики не исключили .git/ из публикации веб-приложения, то вся эта информация доступна через браузер — без какой-либо аутентификации. А при открытом доступе ко всей директории .git злоумышленники способны восстановить полный репозиторий вместе с историей коммитов, в которой часто скрываются конфиденциальные данные.

Обычное сканирование конфигурационных файлов — классическая разведывательная стадия атаки. Однако в практике такие действия зачастую превращаются в точку входа в инфраструктуру. Хакеры могут извлечь приватные ключи, доступы к облачным аккаунтам и закрытым URL, а затем развернуть полноценные атаки.

Один из самых ярких прецедентов произошёл в октябре 2024 года, когда команда Sysdig обнаружила кампанию под названием EmeraldWhale. В ходе атаки с использованием уязвимых .git/config было скомпрометировано более 15 000 облачных учётных данных, хранившихся в закрытых репозиториях. Сходный приём применили и при взломе Wayback Machine — злоумышленники не только проникли в систему, но и продолжали контролировать её даже после вмешательства специалистов.

По данным GreyNoise, в последние месяцы такие всплески наблюдались неоднократно — в ноябре, декабре, феврале и марте. Однако апрельский инцидент стал крупнейшим. Интересно, что в феврале география была иной: основными источниками были Нидерланды, США и Германия, а целями — США, Великобритания и Испания. Это может свидетельствовать о смене фокуса или перераспределении атакующих ресурсов.

Помимо организационных рекомендаций, специалисты обращают внимание на наличие уязвимости CVE-2021-23263 (оценка CVSS: 7.5), которая может быть использована для обхода ограничений и получения доступа к закрытым структурам.

Чтобы избежать компрометации, рекомендуется: — полностью запретить доступ к директории .git/ на уровне веб-сервера;
— блокировать обращение к скрытым файлам и папкам;
— настроить мониторинг логов на предмет повторяющихся запросов к .git/config;
— оперативно менять любые обнаруженные в истории токены, ключи и пароли.

Аналитики продолжают наблюдение за ситуацией и подчёркивают: Git остаётся критически важной точкой риска, особенно в условиях повсеместной облачной разработки.