Ataques a segredos de desenvolvedores aumentam risco de breach

Nova York — InkDesign News — Ataques cibernéticos recentes intensificaram a busca por arquivos de desenvolvimento inadvertidamente expostos em servidores de aplicação, visando obter senhas e códigos-fonte de aplicações implementadas, alertam especialistas em segurança.

Vetor de ataque

Cibercriminosos e agentes sofisticados utilizam varreduras em larga escala para localizar arquivos de configuração ambiente (env) e arquivos Git que desenvolvedores podem ter enviado por engano a servidores. Em abril, um pico expressivo de quase 4.800 endereços IP únicos foi detectado realizando essas varreduras, provenientes de grandes provedores de nuvem em Singapura e nos Estados Unidos, conforme dados da GreyNoise Intelligence. Esses arquivos frequentemente contêm tokens, chaves de API e credenciais que, quando vazados, expõem os sistemas a ataques mais amplos.

O erro comum identificado é o envio inadvertido de diretórios completos de desenvolvimento, incluindo arquivos “.env” e “.git”, que não deveriam estar acessíveis publicamente. O diretório “.git”, quando exposto, permite a reconstrução do código-fonte completo, incluindo histórico de commits que podem conter informações sensíveis.

Impacto e resposta

De acordo com relatórios de 2024, mais de 39 milhões de segredos de desenvolvimento foram encontrados em repositórios públicos do GitHub, com 65% desses segredos localizados em arquivos de variáveis de ambiente. As permissões excessivas em tokens e chaves aumentam a severidade do impacto. Cerca de 95% dos tokens do GitHub e 58% das chaves API do GitLab concedem acesso completo, facilitando o movimento lateral dos invasores dentro de sistemas corporativos.

“Quando segredos como chaves de API, tokens ou credenciais são expostos em código, os atacantes não apenas obtêm acesso aos recursos específicos desbloqueados por esses segredos — eles frequentemente usam esse acesso inicial como ponto de apoio para se mover lateralmente por sistemas conectados, potencialmente comprometendo organizações inteiras.”
(“When secrets like API keys, tokens, or credentials are exposed in code, attackers don’t just gain access to the specific resources those secrets unlock — they often use that initial access as a foothold to move laterally through connected systems, potentially compromising entire organizations.”)

— Jennifer Schelkopf, Diretora de Gestão de Produtos, GitHub

Para mitigar esses riscos, o GitHub implementou controles como a Push Protection, que no ano de 2024 identificou e bloqueou 4,4 milhões de segredos vazados em repositórios públicos. A empresa também expandiu a detecção para diferentes padrões de segredos, incluindo strings de conexão de bancos de dados e cabeçalhos HTTP.

Análise e recomendações

O uso crescente de programadores menos experientes e a prática do “vibe coding” acelerado com assistentes de IA têm contribuído para a má gestão de arquivos sensíveis em processos de implantação. A educação em segurança, uso de plataformas específicas para gestão de segredos e a rotação frequente de credenciais comprometidas são recomendados como práticas essenciais.

“A segurança é um processo contínuo. Mesmo que um repositório privado pareça seguro hoje, uma conta ou dispositivo de desenvolvedor comprometido pode expor esses segredos amanhã.”
(“Remember that security is a continuous process. Even if a private repository seems secure today, a compromised developer account or device could expose those secrets tomorrow.”)

— Jennifer Schelkopf, Diretora de Gestão de Produtos, GitHub

Ferramentas gratuitas como o Secret Risk Assessment, lançadas recentemente pelo GitHub, ajudam as equipes a identificar potenciais riscos associados a segredos armazenados. A limitação rigorosa de permissões em tokens e APIs também é crucial para minimizar o impacto de possíveis vazamentos.

Com a tendência de aumento na complexidade e sofisticação dos ataques, espera-se que as ferramentas de segurança e análise de segredos continuem evoluindo para aumentar a visibilidade e resposta rápida a esses vazamentos. A integração de práticas de DevSecOps e o fortalecimento das políticas de gestão de segredos são caminhos estratégicos para mitigar riscos no setor de desenvolvimento de software.

Veja mais notícias em Cibersegurança e Ameaças.

Fonte: (Dark Reading – Segurança Cibernética)