Pesquisadores de segurança cibernética identificaram uma campanha massiva, apelidada de EMERALDWHALE, que explora configurações expostas de repositórios Git para roubar credenciais, clonar repositórios privados e até mesmo extrair dados de acesso a serviços de nuvem diretamente do código-fonte. Estima-se que mais de 10.000 repositórios privados tenham sido comprometidos e armazenados em um bucket da Amazon S3, pertencente a uma vítima anterior. O bucket, contendo cerca de 15.000 credenciais roubadas, já foi desativado pela Amazon.

A operação criminosa, embora não altamente sofisticada, utiliza uma gama de ferramentas privadas para localizar e roubar dados de configuração do Git, arquivos Laravel .env e dados web. A campanha, que não foi atribuída a nenhum grupo de ameaça específico, busca servidores com arquivos de configuração Git expostos, usando uma ampla faixa de endereços IP para localizar hosts e extrair credenciais. Além dos arquivos Git, o EMERALDWHALE também mirou arquivos de ambiente Laravel .env, que contêm uma riqueza de credenciais para serviços de nuvem e bancos de dados.

“O mercado clandestino de credenciais está em plena expansão, especialmente para serviços em nuvem,” disse Miguel Hernández, pesquisador da Sysdig. Este ataque reforça que a gestão de segredos por si só não é suficiente para garantir a segurança de um ambiente.