최근 위협 모니터링 회사 GreyNoise의 보고서에 따르면, Git 설정 파일을 대상으로 한 인터넷 전체 스캔 활동이 증가하고 있습니다. 이러한 파일들은 민감한 비밀 정보와 인증 토큰을 포함하고 있어, 클라우드 서비스와 소스 코드 저장소가 공격당할 수 있습니다. 특히 2025년 4월 20일부터 21일 사이에 노출된 Git 설정에 대한 검색이 급증했습니다. 이 기간 동안 GreyNoise는 하루에 거의 4,800개의 고유 IP 주소를 관찰했으며, 이는 평소 수준에 비해 상당한 증가를 나타냅니다. 이러한 활동은 전 세계적으로 분포되어 있지만, 싱가포르가 가장 많은 출처와 목적지로 나타났으며, 미국과 독일이 그 뒤를 이었습니다.
Git 설정 파일은 브랜치 정보, 원격 저장소 URL, 후크 및 자동화 스크립트, 그리고 가장 중요하게도 계정 자격 증명과 액세스 토큰을 포함할 수 있는 Git 프로젝트의 설정 파일입니다. 개발자나 회사들이 웹 애플리케이션을 배포할 때 .git/ 디렉토리를 제대로 제외하지 않아 이러한 파일들이 노출되는 경우가 있습니다. 이러한 파일을 스캔하는 것은 위협 요소에게 많은 기회를 제공하는 표준 정찰 활동입니다. 2024년 10월에는 Sysdig이 "EmeraldWhale"라는 대규모 작업을 보고했는데, 이 작업에서는 노출된 Git 설정 파일을 스캔하여 수천 개의 비공개 저장소에서 15,000개의 클라우드 계정 자격 증명을 빼앗았습니다.
- 위협 모니터링 회사 GreyNoise는 최근 Git 설정 파일을 대상으로 한 인터넷 전체 스캔 활동이 증가하고 있음을 보고했다.
- 이러한 파일들은 민감한 정보와 인증 토큰을 포함하고 있어, 클라우드 서비스와 소스 코드 저장소가 공격당할 위험이 있다.
- 개발자나 회사들이 웹 애플리케이션을 배포할 때 .git/ 디렉토리를 제대로 제외하지 않아 이러한 파일들이 노출되는 경우가 있다.
- 이러한 파일을 스캔하는 것은 위협 요소에게 많은 기회를 제공하는 표준 정찰 활동이다.
- 2024년에는 "EmeraldWhale"라는 대규모 작업에서 노출된 Git 설정 파일을 스캔하여 수천 개의 비공개 저장소에서 15,000개의 클라우드 계정 자격 증명을 빼앗았다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.