Das Threat Research Team des US-Security-Spezialisten Sysdig berichtet von einer Hacker­kam­pa­gne, die auf Anmeldeinformationen für private Repositories auf Github, Gitlab, Bitbucket und anderen Sites abzielt. Laut Sysdig wurden im Rahmen der Emeraldwhale getauften Aktion bereits Zugangsdaten für mehr als 10'000 private Repositories gesammelt.

Die Hacker verwenden laut Sysdig automatisierte Tools, um das Internet nach offenen Git-Konfigurationsdateien abzusuchen, die aufgrund von Konfi­gu­ra­tions­fehlern ungeschützt sind. Diese Files können manchmal Zugangsdaten wie API-Schlüssel, Passwörter oder Zugangstokens enthalten, die ihrerseits den Zugriff auf eigentlich geschützte private Repositories erlauben.

Die Angreifer nützen also keine eigentlichen Sicherheitslücken aus, sondern schlicht Anwenderfehler.

Der Inhalt von geknackten Repositories wurde laut Sysdig von den Hackern kopiert und in einem "Bucket" des AWS-Storageservices S3 gespeichert, der einem früheren Opfer gehörte. Die Security-Fahnder fanden darin über ein Terabyte an Daten.

Die Hacker durchsuchten diese Daten einerseits nach verkaufbaren Informationen wie vertraulichen Datenbanken oder Quellcode. Gleichzeitig suchten sie auch nach weiteren Zugangsdaten für andere Repositories. Solche Daten werden von Entwicklern in ihren vermeintlich sicheren privaten Repositories gespeichert, um den Zugriff auf weitere Ressourcen zu vereinfachen und zu beschleunigen.

Die im Rahmen von Emeraldwhale gestohlenen Zugangsdaten sowie die weiteren Daten wurden laut dem Bericht wohl hauptsächlich an andere Hacker verkauft, die sie ihrerseits beispielsweise für Phishing-Attacken verwendet haben.

Sysdig hat AWS nach der Entdeckung des verwendeten S3-Buckets umgehend informiert, mittlerweile wurde er entfernt. Den Hackern hinter Emeraldwhale dürfte es aber kaum schwerfallen, eine alternative Speichermöglichkeit zu finden.