Se ha observado un aumento significativo en los escaneos maliciosos de los archivos de configuración GIT expuestos, plantea un riesgo significativo de robo de base de código y exposición a la elegibilidad a organizaciones de todo el mundo.
Los investigadores de seguridad de Greynoise Intelligence han documentado récords récords de actividad de rastreo en las configuraciones de GIT, aproximadamente 4,800 direcciones IP únicas dirigidas a estos archivos sensibles todos los días del 20 al 21 de abril de 2025.
Escala de actividad de rastreo sin precedentes
La última ola de ataque representa la más grande de los cuatro picos diferentes observados desde septiembre de 2024.
Las oleadas anteriores generalmente contienen alrededor de 3.000 IP únicas, lo que hace que esta última campaña sea mucho más amplia.
“Greynoise puede confirmar que el 95% de todos los IP que participan en este comportamiento en los últimos 90 días son maliciosos”, señala la compañía de seguridad en un análisis reciente.
Esta actividad se rastrea bajo la etiqueta Greynoise Git Config Crawler. Esto identifica escaneos IPS para archivos de configuración GIT confidenciales.
Las actividades de escaneo se distribuyen globalmente, pero Singapur se ha convertido en la principal fuente y destino para estos ataques, seguido por los Estados Unidos y Alemania.
El tráfico malicioso proviene de una infraestructura legal en la nube donde muchos IP se vinculan con proveedores como Cloudflare, Amazon y Digitalocean.
Las distribuciones geográficas muestran patrones claros:
Country Top Country:
Singapur (4,933 IPS únicos) US (3,807 IPS únicos) Alemania (473 IPS únicos)
País de destino superior:
Singapur (8,265 IPS únicos) US (5,143 IPS únicos) Alemania (4,138 IPS únicas)
Impactos técnicos y riesgos de seguridad
El ataque se dirige a un archivo .git/config que contiene información importante del repositorio. Una vez publicados, estos archivos pueden revelar:
URL de repositorio remoto (GitHub, GitLab). Estructura de rama y convenciones de nombres. Metadatos del proceso de desarrollo interno.
Lo que es aún más preocupante es que los atacantes exitosos con acceso al directorio .GIT completo podrían reconstruir toda la base de código, incluida la historia que incluye credenciales y lógica comercial confidencial.
Una violación similar en 2024 expuso 15,000 credenciales y condujo a 10,000 repositorios privados clonados.
La campaña actual está relacionada con CVE-2021-23263, una vulnerabilidad que ha sido rastreada por investigadores de seguridad desde que se publicó en diciembre de 2021.
La asociación sugiere que los atacantes pueden estar apuntando a sistemas que se han conocido durante muchos años, pero permanecen por debajo de la vulnerabilidad a pesar de las incógnitas.
Recomendaciones
Los expertos en seguridad recomiendan algunos pasos inmediatos para mitigar esta amenaza.
Asegúrese de que el directorio .git/ directorio no sea accesible a través de un servidor web público. Implemente una configuración del servidor web que bloquee el acceso a archivos y carpetas ocultas. Monitorea registros para solicitudes repetidas a .git/config y rutas similares. Gire las credenciales potencialmente expuestas en el historial de control de versiones.
La escala y el refinamiento de esta campaña destacan la importancia crítica de proteger los sistemas de gestión del código fuente contra ataques cada vez más dirigidos.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
