.git/config — новая дверь в облако: одна директория рушит DevOps-инфраструктуру
NewsMakerYачалась глобальная охота за исходниками.
Хакерские группы активизировали глобальную охоту за файлами конфигурации Git, способными раскрыть чувствительные данные и предоставить прямой доступ к облачным сервисам, приватным репозиториям и даже внутренним процессам разработки. По данным GreyNoise, с 20 по 21 апреля 2025 года зафиксирована самая масштабная волна такого сканирования — почти 4800 уникальных IP-адресов всего за двое суток.
Резкий всплеск активности охватил весь мир, но особенно выделился Сингапур: он оказался лидером как по числу источников, так и по количеству целевых систем. Далее следуют США и Германия. Наиболее часто атаки исходили с IP-адресов, связанных с облачными инфраструктурами Amazon Web Services, Cloudflare и DigitalOcean. Все IP были реальными — подмены или спуфинга не обнаружено. За последние 90 дней 95% адресов, замешанных в подобных действиях, классифицируются как злонамеренные.
Git-конфигурации становятся опасными, когда попадают в публичный доступ. Файл
Обычное сканирование конфигурационных файлов — классическая разведывательная стадия атаки. Однако в практике такие действия зачастую превращаются в точку входа в инфраструктуру. Хакеры могут извлечь приватные ключи, доступы к облачным аккаунтам и закрытым URL, а затем развернуть полноценные атаки.
Один из самых ярких прецедентов произошёл в октябре 2024 года, когда команда Sysdig обнаружила кампанию под названием EmeraldWhale. В ходе атаки с использованием уязвимых
По данным GreyNoise, в последние месяцы такие всплески наблюдались неоднократно — в ноябре, декабре, феврале и марте. Однако апрельский инцидент стал крупнейшим. Интересно, что в феврале география была иной: основными источниками были Нидерланды, США и Германия, а целями — США, Великобритания и Испания. Это может свидетельствовать о смене фокуса или перераспределении атакующих ресурсов.
Помимо организационных рекомендаций, специалисты обращают внимание на наличие уязвимости CVE-2021-23263 (оценка CVSS: 7.5), которая может быть использована для обхода ограничений и получения доступа к закрытым структурам.
Чтобы избежать компрометации, рекомендуется: — полностью запретить доступ к директории
— блокировать обращение к скрытым файлам и папкам;
— настроить мониторинг логов на предмет повторяющихся запросов к
— оперативно менять любые обнаруженные в истории токены, ключи и пароли.
Аналитики продолжают наблюдение за ситуацией и подчёркивают: Git остаётся критически важной точкой риска, особенно в условиях повсеместной облачной разработки.

Хакерские группы активизировали глобальную охоту за файлами конфигурации Git, способными раскрыть чувствительные данные и предоставить прямой доступ к облачным сервисам, приватным репозиториям и даже внутренним процессам разработки. По данным GreyNoise, с 20 по 21 апреля 2025 года зафиксирована самая масштабная волна такого сканирования — почти 4800 уникальных IP-адресов всего за двое суток.
Резкий всплеск активности охватил весь мир, но особенно выделился Сингапур: он оказался лидером как по числу источников, так и по количеству целевых систем. Далее следуют США и Германия. Наиболее часто атаки исходили с IP-адресов, связанных с облачными инфраструктурами Amazon Web Services, Cloudflare и DigitalOcean. Все IP были реальными — подмены или спуфинга не обнаружено. За последние 90 дней 95% адресов, замешанных в подобных действиях, классифицируются как злонамеренные.
Git-конфигурации становятся опасными, когда попадают в публичный доступ. Файл
.git/config
может содержать адреса удалённых репозиториев, структуру веток, настройки автосборки и, что особенно тревожно, — ключи API, токены, логины и пароли. Если разработчики не исключили .git/
из публикации веб-приложения, то вся эта информация доступна через браузер — без какой-либо аутентификации. А при открытом доступе ко всей директории .git
злоумышленники способны восстановить полный репозиторий вместе с историей коммитов, в которой часто скрываются конфиденциальные данные. Обычное сканирование конфигурационных файлов — классическая разведывательная стадия атаки. Однако в практике такие действия зачастую превращаются в точку входа в инфраструктуру. Хакеры могут извлечь приватные ключи, доступы к облачным аккаунтам и закрытым URL, а затем развернуть полноценные атаки.
Один из самых ярких прецедентов произошёл в октябре 2024 года, когда команда Sysdig обнаружила кампанию под названием EmeraldWhale. В ходе атаки с использованием уязвимых
.git/config
было скомпрометировано более 15 000 облачных учётных данных, хранившихся в закрытых репозиториях. Сходный приём применили и при взломе Wayback Machine — злоумышленники не только проникли в систему, но и продолжали контролировать её даже после вмешательства специалистов. По данным GreyNoise, в последние месяцы такие всплески наблюдались неоднократно — в ноябре, декабре, феврале и марте. Однако апрельский инцидент стал крупнейшим. Интересно, что в феврале география была иной: основными источниками были Нидерланды, США и Германия, а целями — США, Великобритания и Испания. Это может свидетельствовать о смене фокуса или перераспределении атакующих ресурсов.
Помимо организационных рекомендаций, специалисты обращают внимание на наличие уязвимости CVE-2021-23263 (оценка CVSS: 7.5), которая может быть использована для обхода ограничений и получения доступа к закрытым структурам.
Чтобы избежать компрометации, рекомендуется: — полностью запретить доступ к директории
.git/
на уровне веб-сервера;— блокировать обращение к скрытым файлам и папкам;
— настроить мониторинг логов на предмет повторяющихся запросов к
.git/config
;— оперативно менять любые обнаруженные в истории токены, ключи и пароли.
Аналитики продолжают наблюдение за ситуацией и подчёркивают: Git остаётся критически важной точкой риска, особенно в условиях повсеместной облачной разработки.