Das IT-Sicherheitsunternehmen Greynoise hat im April dieses Jahres einen deutlichen Anstieg der Crawling-Aktivitäten bei Git-Konfigurationsdateien beobachtet. Am 20. und 21. April registrierte die Firma täglich rund 4800 einzigartige IP-Adressen, von denen Scans ausgingen. Damit handelt es sich bei diesem Vorfall um den größten von insgesamt vier seit September 2024 beobachteten. Bei jedem gingen die Crawling-Aktivitäten von mindestens 3000 einzigartigen IP-Adressen aus.
Zur Erfassung der verdächtigen Aktivitäten nutzt Greynoise sein Tool Git Config Crawler, das IP-Adressen identifiziert, die das Internet nach sensiblen Git-Konfigurationsdateien durchsuchen. Die im April beteiligten IP-Adressen verteilen sich zwar global, doch die meisten kamen aus Singapur: 8265 einzigartige IPs zur gleichen Zeit.
Seit Ende 2024 haben die Crawling-Aktivitäten deutlich zugenommen.
(Bild: Greynoise)
Auf Platz 2 und 3 der am häufigsten betroffenen Länder landeten die USA (5143 IPs) und Deutschland (4138 IPs). Es folgen Großbritannien mit 3417 IP-Adressen auf Platz 4 und Indien mit 3373 IP-Adressen auf Platz 5. Sämtliche betroffenen IPs gehören zu Cloud-Infrastruktur-Providern wie Amazon, Cloudflare und DigitalOcean.
Singapur blieb sowohl bei der Anzahl der Quell- als auch Ziel-IP-Adressen auf Platz 1, auch in einem längeren Analysezeitraum über neunzig Tage. Laut des IT-Sicherheitsunternehmens war keine der registrierten IPs gespooft, was darauf hindeutet, dass der Scan-Traffic tatsächlich von diesen Adressen ausging. Zudem ließen sich 95 Prozent der IP-Adressen böswilligen Akteuren zuordnen.
Das Stehlen von Git-Konfigurationsdateien kann den Abfluss sensibler Informationen zur Folge haben. Dazu zählen etwa Repository-URLs, Branch-Strukturen, Namenskonventionen oder Metadaten, die Rückschlüsse auf den internen Entwicklungsprozess zulassen. Wird das .git-Directory kompromittiert, können böswillige Akteure unter Umständen den kompletten privaten Code einsehen, in der Commit-Historie hinterlegte Informationen abgreifen und Schwachstellen im Code finden.
Im Jahr 2024 wurden bei einem solchen Angriff über 15.000 Accounts kompromittiert und mehr als 10.000 private Repositories geklont. Anwenderinnen und Anwender müssen dem aber nicht tatenlos zusehen, denn mit Tools wie "github-secrets" lassen sich sensible Informationen im eigenen Code aufspüren und sichern.
(
Kommentare