Cảnh Báo: Hacker Tăng Cường Quét Tìm Git Token Từ Cấu Hình Bị Lộ Trên Internet


Trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng, các tin tặc đang đẩy mạnh các hoạt động quét toàn mạng để tìm kiếm các tệp cấu hình Git (.git/config) bị lộ, nhằm đánh cắp thông tin nhạy cảm như chứng chỉ tài khoản, token xác thực, và khóa API. Những thông tin này có thể bị lợi dụng để xâm nhập vào các dịch vụ đám mây, kho mã nguồn, hoặc thậm chí gây ra các cuộc tấn công có chủ đích. Một báo cáo mới đây từ công ty giám sát mối đe dọa GreyNoise đã ghi nhận sự gia tăng đột biến trong các hoạt động này vào ngày 20-21/04/2025, với gần 4.800 địa chỉ IP độc lập tham gia mỗi ngày.
Thông tin chi tiết
Sự gia tăng các hoạt động quét tìm tệp Git bị lộ là một lời cảnh báo nghiêm trọng đối với các nhà phát triển và doanh nghiệp. Việc không bảo vệ đúng cách các tệp cấu hình có thể dẫn đến những hậu quả nghiêm trọng, từ rò rỉ dữ liệu đến các cuộc tấn công quy mô lớn. Hãy hành động ngay hôm nay để kiểm tra và bảo vệ các ứng dụng web của tổ chức, đảm bảo rằng thư mục .git/ và các tệp nhạy cảm khác không bị lộ ra ngoài.
Tệp cấu hình Git là các tệp quan trọng trong các dự án sử dụng Git, chứa thông tin như:
URL của kho lưu trữ từ xa.
Thông tin nhánh (branch).
Các tập lệnh tự động (hooks).
Thông tin nhạy cảm như chứng chỉ tài khoản, token truy cập, hoặc khóa API.
Khi các nhà phát triển hoặc doanh nghiệp triển khai ứng dụng web mà không cấu hình đúng, thư mục .git/ có thể bị để lộ công khai. Điều này cho phép tin tặc dễ dàng truy cập vào các tệp cấu hình và khai thác thông tin nhạy cảm. Các hoạt động quét tìm kiếm những tệp này là một bước do thám phổ biến, mở ra cơ hội cho tin tặc thực hiện các cuộc tấn công nghiêm trọng hơn.
Ví dụ thực tế
Chiến dịch EmeraldWhale (10/2024): Tin tặc đã đánh cắp hơn 15.000 chứng chỉ tài khoản đám mây từ hàng ngàn kho lưu trữ riêng tư thông qua việc quét các tệp Git bị lộ.
Vụ tấn công Internet Archive (10/2024): Tin tặc đã sử dụng các chứng chỉ bị rò rỉ từ tệp Git để xâm nhập vào "The Wayback Machine" và duy trì quyền truy cập bất chấp các nỗ lực ngăn chặn.
Mức độ nghiêm trọng hiện nay
Theo GreyNoise, các đợt quét tìm tệp Git đã tăng mạnh với bốn đợt tấn công đáng chú ý kể từ cuối năm 2024 (tháng 11, 12/2024, tháng 3 và tháng 4/2025). Đợt tấn công gần đây nhất vào tháng 4/2025 là đợt có khối lượng lớn nhất được ghi nhận. Các quốc gia bị nhắm mục tiêu chính bao gồm Singapore, Mỹ, Tây Ban Nha, Đức, Anh và Ấn Độ, nhưng các nhà phát triển và doanh nghiệp tại Việt Nam cũng không nằm ngoài tầm ngắm.
Singapore hiện là nguồn và đích đến hàng đầu của các hoạt động quét này, tiếp theo là Mỹ và Đức. Điều này cho thấy quy mô toàn cầu và tính phối hợp cao của các chiến dịch này.
Rủi ro đối với doanh nghiệp và nhà phát triển
Nếu tin tặc truy cập được các tệp Git bị lộ, chúng có thể:
Đánh cắp dữ liệu bí mật: Tiếp cận thông tin nhạy cảm hoặc mã nguồn độc quyền.
Xâm nhập tài khoản đặc quyền: Sử dụng token hoặc chứng chỉ để kiểm soát các dịch vụ đám mây hoặc kho mã nguồn.
Tạo các cuộc tấn công có chủ đích: Dựa trên thông tin nội bộ để thiết kế các cuộc tấn công phức tạp hơn.
Gây gián đoạn hoạt động: Như trường hợp của Internet Archive, tin tặc có thể duy trì quyền truy cập lâu dài, gây thiệt hại nghiêm trọng.
Nếu bạn nghi ngờ hệ thống của mình có thể đã bị xâm phạm, hãy liên hệ với các chuyên gia bảo mật của FPT Threat Intelligent để được hỗ trợ. An ninh mạng là trách nhiệm của tất cả chúng ta!
Khuyến nghị
Để giảm thiểu rủi ro từ các hoạt động quét này, phía FPT Threat Intelligent khuyến nghị các nhà phát triển và doanh nghiệp cần thực hiện ngay các biện pháp sau:
Chặn truy cập vào thư mục .git/:
Cấu hình máy chủ web (như Apache hoặc Nginx) để từ chối truy cập vào thư mục .git/.
Ví dụ, với Apache, thêm vào tệp .htaccess:
<Directory ~ "\.git"> Order allow,deny Deny from all </Directory>
Ngăn truy cập vào các tệp ẩn:
- Đảm bảo máy chủ không cho phép truy cập vào các tệp bắt đầu bằng dấu chấm (như .git/config).
Giám sát nhật ký máy chủ:
Kiểm tra nhật ký truy cập máy chủ để phát hiện các nỗ lực truy cập trái phép vào tệp .git/config.
Nếu phát hiện truy cập bất thường, ngay lập tức thay đổi (rotate) các chứng chỉ hoặc token có khả năng bị lộ.
Thay đổi chứng chỉ định kỳ:
- Thực hiện thay đổi định kỳ các token, khóa API, và chứng chỉ để giảm thiểu rủi ro nếu thông tin bị rò rỉ.
Sử dụng các công cụ bảo mật:
- Áp dụng các giải pháp như tường lửa ứng dụng web (WAF) hoặc công cụ quét bảo mật để phát hiện và chặn các hoạt động quét độc hại.
Đào tạo nhân viên:
- Nâng cao nhận thức của đội ngũ phát triển về việc bảo vệ các tệp cấu hình và tránh để lộ thông tin nhạy cảm.
Tham khảo
Hackers ramp up scans for leaked Git tokens and secrets
Spike in Git Config Crawling Highlights Risk of Codebase Exposure
Subscribe to my newsletter
Read articles from Nguyễn Văn Trung directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by
