Git-папка на мушке: сканеры атакуют репозитории по всему миру

Аналитики зафиксировали резкий всплеск активности, направленной на поиск уязвимых Git-репозиториев в публичном доступе. Согласно отчёту GreyNoise, за 48 часов — 20 и 21 апреля — более 4800 уникальных IP-адресов обратились к файлам конфигурации .git/config, что стало рекордным показателем за всё время наблюдений.

Причиной тревоги стала не новая уязвимость, а оживление интереса к уже известным проблемам, связанным с неправильной настройкой веб-серверов. Например, уязвимость CVE-2021-23263 позволяет злоумышленникам получить доступ к .git-папке, если сервер не ограничивает прямой доступ к скрытым файлам. В такой ситуации злоумышленник может извлечь весь репозиторий с историей коммитов и, что особенно опасно, — с хранящимися там токенами, ключами и паролями.

Наибольшая активность наблюдалась со стороны адресов из Сингапура, США, Германии и Великобритании. При этом более 95% сканирующих адресов связаны с известными вредоносными активностями. Примечательно, что большая часть IP-источников принадлежит облачным платформам — среди них Cloudflare, Amazon и DigitalOcean, что указывает на использование масштабируемых инфраструктур для маскировки атак.

Открытый .git/config способен рассказать о структуре проекта гораздо больше, чем кажется. Он может содержать ссылки на внутренние серверы, структуру ветвления, логины пользователей, и даже фрагменты приватной информации, случайно оставленные в истории коммитов. В 2024 году одна из таких ошибок привела к компрометации тысяч приватных репозиториев.