Aumentan los Escaneos Masivos para Robar Tokens y Secretos Expuestos en Git

por

Investigadores de la firma de ciberinteligencia GreyNoise han detectado un aumento sin precedentes en los escaneos masivos de internet dirigidos a archivos .git/config, con picos registrados entre el 20 y 21 de abril de 2025.

Durante ese breve periodo, se identificaron 4.800 direcciones IP únicas realizando búsquedas automatizadas para detectar configuraciones Git expuestas en servidores web mal protegidos.

Por qué los archivos Git config son tan peligrosos si se exponen

Los archivos .git/config contienen información sensible que, si se expone accidentalmente al público, puede incluir:

  • URLs de repositorios remotos
  • Tokens de acceso y credenciales
  • Claves SSH privadas
  • Hooks y scripts automatizados
  • Rutas internas y endpoints confidenciales

Muchos desarrolladores olvidan bloquear el acceso al directorio .git/ dejando esta información disponible para cualquier atacante que simplemente sepa dónde buscar.

Actividad global, con foco en Asia y Occidente

Según el informe, la actividad fue altamente distribuida a nivel global pero Singapur se posicionó como el origen y destino principal de los ataques, seguido por Estados Unidos, Alemania, Reino Unido, India y España.

Esta tendencia no es nueva: operaciones previas como «EmeraldWhale» lograron comprometer 15.000 credenciales de cuentas en la nube en octubre de 2024, reutilizando exactamente la misma técnica.

Ejemplos recientes de ataques exitosos

  • Internet Archive («The Wayback Machine») fue comprometido en octubre de 2024 a través de credenciales filtradas desde un archivo .git/config.
  • Luego de detectar el acceso no autorizado, los atacantes mantuvieron persistencia incluso tras medidas defensivas, demostrando la peligrosidad de este vector.

Impactante oleada de escaneos maliciosos

GreyNoise ha documentado cuatro grandes olas de escaneos maliciosos desde finales de 2024:

  • Noviembre 2024
  • Diciembre 2024
  • Marzo 2025
  • Abril 2025 (la más intensa hasta ahora)

Estas campañas apuntan a entornos mal configurados en servidores web y repositorios de código expuestos accidentalmente a internet.

Cómo proteger tus sistemas contra estas amenazas

Para mitigar los riesgos derivados de la exposición de archivos Git:

  1. Bloquea el acceso al directorio .git/ en tu servidor web (vía .htaccess, nginx.conf, etc.)
  2. Revisa logs del servidor para identificar intentos de acceso a .git/config
  3. Configura el servidor para no servir archivos ocultos (como los que comienzan con «.»)
  4. Rota inmediatamente cualquier credencial que se haya expuesto
  5. Utiliza herramientas de escaneo de secretos como GitGuardian o TruffleHog en tus repositorios
  6. Implementa CI/CD seguro con auditorías automáticas de seguridad

Conclusión

El auge en los escaneos automatizados demuestra que los atacantes no necesitan explotar una vulnerabilidad compleja, les basta con encontrar errores de configuración. Proteger los archivos .git/config no es opcional, es una práctica crítica para evitar fugas de datos, accesos no autorizados y brechas catastróficas.

Descubre más desde CIBERED

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Deja un comentario