在过去的两年中，多个威胁行为者几乎没有引起自己的注意，他们花费了三年的时间对互联网进行大规模扫描，以查找意外上载并暴露在Web服务器上的ENV文件。

ENV 文件或 环境文件是开发工具通常使用的一种配置文件。

诸如Docker，Node.js，Symfony和Django之类的框架使用ENV文件来存储环境变量，例如API令牌，密码和数据库登录名。

由于它们保存的数据的性质，ENV文件应始终存储在受保护的文件夹中。

“我想像一个僵尸网络扫描这些文件找到存储的证书，这将允许攻击者与像火力地堡，或AWS实例等，与数据库交互” 丹尼尔·邦斯，首席安全分析师 SecurityJoes告诉 网易科技。

Bunce补充说：“如果攻击者能够访问私有API密钥，他们可能会滥用该软件。”

仅本月，就有超过1,100台ENV扫描仪处于活动状态

应用程序开发人员经常收到有关恶意僵尸网络扫描GIT配置文件或 意外的是在线上载的SSH私钥的警告 ，但是对ENV文件的扫描 与前两次一样普遍。

超过 2800个不同的IP地址 已经被用来扫描ENV文件，在过去的三年中，有超过 1100台扫描仪 在过去一个月内，据安全厂商Greynoise。

识别ENV文件的威胁参与者最终将下载文件，提取任何敏感凭据，然后破坏公司的后端基础结构。

这些后续攻击的最终目标可以是从盗窃知识产权和商业机密，到勒索软件攻击或安装隐藏的加密采矿恶意软件。

建议开发人员进行测试，看看他们的应用程序的ENV文件是否可以在线访问，然后保护任何意外暴露的ENV文件。对于公开的ENV文件，还必须更改所有令牌和密码。