Сервис Mysterium VPN провёл масштабное сканирование сетевой инфраструктуры в 2026 году и выявил почти 5 млн веб-серверов по всему миру, которые оказались настроены с ошибкой и открывают доступ к служебным данным Git. Это создаёт риски утечки исходного кода и учётных данных.
Проблема связана с тем, что скрытые каталоги репозиториев попадают в публичную часть сайтов и становятся доступны любому желающему.
Как напоминают исследователи, внутри каждого Git-репозитория хранится служебный каталог .git с историей изменений, настройками и техническими файлами. Если неправильно организовать развёртывание сайта, то эта папка может оказаться в открытом доступе, и любой сторонний юзер получает возможность восстановить структуру проекта, изучить внутреннюю логику приложения и найти секретные параметры.
Исследователи обнаружили 4 964 815 IP адресов, где метаданные Git доступны извне. В 252 733 случаях в файле .git/config находились данные для подключения к удалённым репозиториям и сервисам. Подобные записи нередко содержат логины, токены и пароли для автоматизированных процессов сборки и публикации кода. Таким образом, злоумышленник может захватить такой репозиторий и внедрить вредонос.
Например, открытая директория .git позволяет запросить служебные файлы вроде HEAD, index и config и на их основе собрать копию проекта при помощи общедоступных утилит. Далее злоумышленники находят встроенные ключи API, служебные адреса, скрытые маршруты администрирования и незащищённые модули. Они могут и повторно использовать учётные данные для подмены кода, изменений релизов и атак на цепочки поставок программного обеспечения.
Больше всего уязвимых серверов нашли в США (более 1,7 млн), а также в Германии, Франции, Индии, Сингапуре, Нидерландах, Японии, России, Великобритании и Гонконге. Этот показатель отражает концентрацию хостинга и облачных площадок, а не происхождение владельцев сайтов, пояснили в Mysterium VPN.
По словам авторов, подобное наблюдается уже не первый год. Они отмечают, что разработчики иногда загружают на сервер весь каталог проекта вместе со скрытыми папками, а инструменты упаковки включают лишние файлы. При этом веб-серверы по умолчанию не всегда блокируют доступ к скрытым директориям, а защита может работать только для основного домена, тогда как прямой доступ по IP или альтернативному имени остаётся открытым.
Разработчикам рекомендуется полностью закрывать доступ к путям .git на уровне сервера и не размещать репозитории в производственной среде, а вместо рабочих каталогов следует публиковать только готовые сборки. Также им требуется немедленно отзывать и перевыпускать найденные в конфигурациях ключи и токены. Исследователи рекомендуют внедрять автоматические проверки на наличие секретов в коде и централизованное хранилище учётных данных.
По оценке Mysterium VPN, даже небольшой процент утечек при масштабах интернета приводит к сотням тысяч скомпрометированных доступов, а автоматизация поиска таких файлов делает атаки быстрыми и дешёвыми.
Ранее сообщалось, что злоумышленники начали взламывать серверы Nginx в рамках кампании, которая перехватывает пользовательский трафик и перенаправляет его. Они изменяли существующие конфигурационные файлы Nginx, внедряя вредоносные блоки «location», которые перехватывают входящие запросы по выбранным URL-адресам. Уже сформирован выпуск основной ветки nginx 1.29.5 с устранением уязвимостей, в том числе CVE-2026-1642, позволяющей атакующему через канал связи между nginx и upstream-сервером подставить отправляемые клиенту ответы. Проблема затрагивает конфигурации, проксирующие запросы (HTTP 1.x, HTTP/2, gRPC или uWSGI) к вышестоящему серверу с использованием TLS-шифрования.
