在过去的两年中，多个威胁行为者几乎没有引起自己的注意，他们花费了三年的时间对互联网进行大规模扫描，以查找意外上载并暴露在Web服务器上的ENV文件。

ENV 文件或环境文件是开发工具通常使用的一种配置文件。

Docker，Node.js，Symfony和Django等框架使用ENV文件存储环境变量，例如API令牌，密码和数据库登录名。

由于它们保存的数据的性质，ENV文件应始终存储在受保护的文件夹中。

“我想像一个僵尸网络扫描这些文件找到API的令牌，将允许攻击者以像火力地堡，或AWS实例等，与数据库交互”丹尼尔·邦斯，首席安全分析师SecurityJoes告诉 网易科技。

Bunce补充说：“如果攻击者能够访问私有API密钥，他们可能会滥用该软件。”

仅本月，就有超过1,100台ENV扫描仪处于活动状态。

应用程序开发人员经常收到有关恶意僵尸网络扫描GIT配置文件或 意外在线上载的SSH私钥的警告，但是对ENV文件的扫描 与前两次一样普遍。

据安全厂商Greynoise说，超过 2800个不同的IP地址 已经被用来扫描ENV文件，在过去的三年中，有超过 1100台扫描仪 是活跃在过去一个月内。

威胁情报公司Bad Packets也记录了类似的扫描，该公司过去一年一直在Twitter上跟踪 最常见的扫描ENV文件路径。

识别ENV文件的威胁参与者最终将下载该文件，提取任何敏感的凭据，然后破坏公司的后端基础结构。

这些后续攻击的最终目标可以是从盗窃知识产权和商业机密，到勒索软件攻击或安装隐藏的加密采矿恶意软件。

建议开发人员进行测试，看看他们的应用程序的ENV文件是否可以在线访问，然后保护任何意外暴露的ENV文件。对于公开的ENV文件，还必须更改所有令牌和密码。