HackerNews

HackerNews
幽灵账户滥用 GitHub API 进行大规模侦察活动

幽灵账户滥用 GitHub API 进行大规模侦察活动

给文章评分:

Datadog 报告称,威胁行为者正在滥用 GitHub API 来系统性地枚举组织、仓库和用户账户。
这些活动涉及多个相互重叠的恶意活动,已经持续了数月之久,依赖的是两到五年前注册但一直处于休眠状态的幽灵账户。
Datadog 表示,该活动涉及自动化扫描器、滥用泄露的凭证以及协调化的休眠账户网络。
虽然观察到的 GitHub API 请求针对的是公开可用数据,并与正常流量混杂在一起,但这种持续性的活动——在某些情况下升级为攻击者克隆已发现的仓库——引发了担忧。
Datadog 解释道:"GitHub API 的很大一部分接口无需认证即可访问。列出组织的公共仓库、浏览用户的关注者和关注列表、枚举 Gist、星标仓库和组织成员关系,以及针对公共对象运行 GraphQL 查询,这些操作都能返回数据。"
针对这些公共路径的请求会生成 HTTP 200 响应,不会产生认证失败信号。通过正常的 API 流量,操作者可以利用这一点来映射一个组织、其成员以及他们访问的项目。
自 2025 年 10 月以来,已有超过 50 个幽灵账户被用于发送 API 流量以进行枚举,通常以 1 到 3 周为爆发周期,针对多个组织。
这些账户使用的 user agent 名称听起来像是数据泄露、分析或仪表盘工具。大多数请求针对 GraphQL,而其他请求则针对 REST 路由。
Datadog 指出:"就其本身而言,这种枚举很少能在组织内部产生有意义的访问权限,它更多的是在进行侦察。"
还观察到有一个活动利用来自合法 GitHub 用户的意外泄露的令牌,在几分钟的时间窗口内,从数十个合法账户针对私有仓库的提交路径进行访问。
Datadog 表示,在极少数情况下,攻击者超越了侦察阶段,并成功从目标组织中窃取了数据。
该网络安全公司指出,为了检测此类恶意活动,防御者应关注私有仓库的数据泄露,检查日志中是否存在异常的 user agent 行为,以及在访问私有仓库的操作中注意 user agent 的名称和版本。
Datadog 指出:"User agent、事件活动和行为者名称是环境中未授权活动的重要线索。了解环境中的正常状态至关重要。我们建议启用 GitHub audit log 流式传输、建立 user agent 基线、主动进行威胁狩猎,并开发针对您 GitHub 组织的专属检测规则。"


消息来源:bleepingcomputer.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
分享到:
hackernews

hackernews

该作者暂无简介