Datadog Security Labs waarschuwt voor “verschillende overlappende campagnes” die systematisch GitHub-organisaties, repositories en gebruikersaccounts van bedrijven opsommen via de GitHub API.
“Operators vertrouwen op geautomatiseerde scrapingtools met aangepaste of legitiem klinkende user agents, waarbij gebruik wordt gemaakt van GitHub ‘ghost’-accounts die vaak jaren oud zijn, of gecompromitteerde OAuth-tokens en persoonlijke toegangstokens (PAT’s) van legitieme gebruikers”, zegt Julie Agnes Sparks, senior security engineer bij Datadog.
Hoewel de activiteit in de meeste gevallen het richten op openbare gegevens inhoudt, zijn geselecteerde instanties verder gegaan dan het opsommen van openbare informatie om met succes privéopslagplaatsen te klonen.
De campagne maakt gebruik van een mix van geautomatiseerde scannertools, meer dan 50 slapende accounts en tientallen legitieme accounts waarvan de persoonlijke toegangstokens (PAT’s) onbedoeld zijn blootgesteld of die via een andere methode zijn gecompromitteerd om de opsomming te vergemakkelijken.
Wat opvalt aan de ‘spook’-accounts is dat ze twee tot vijf jaar geleden zijn aangemaakt en opzettelijk voor langere tijd inactief zijn gebleven voordat ze werden bewapend om API-verkeer door meerdere organisaties te verspreiden. Deze techniek is van strategisch belang omdat deze tot doel heeft te voorkomen dat er alarmsignalen worden gegenereerd en dat de activiteit als legitiem wordt afgeschilderd, in plaats van nieuwe accounts aan te maken en deze onmiddellijk te gebruiken voor scraping.

Omdat een groot deel van het API-oppervlak van GitHub zonder authenticatie bereikbaar is, retourneren de opsommingsquery’s de benodigde gegevens, terwijl ze opgaan in normaal API-gebruik. Sommigen van hen omvatten –
- Een overzicht van de openbare repository’s van een organisatie
- Door de volgers en volglijsten van een gebruiker lopen
- Het opsommen van essenties, repo’s met ster en organisatielidmaatschappen, en
- GraphQL-query’s uitvoeren op openbare objecten
Deze informatie kan door een bedreigingsacteur worden gebruikt om verkenningen uit te voeren en de GitHub-gerelateerde activiteiten van een organisatie programmatisch in kaart te brengen, zoals de openbare opslagplaatsen, de leden, wie deze leden volgen en welke projecten ze wijzigen.
Gegevenstoegang is in een aantal scenario’s bevestigd, waarbij de aanvallers stappen ondernemen om een privéopslagplaats van één organisatie te klonen.
“Individueel zijn de meeste van deze verzoeken onopvallend. Ze raken openbare eindpunten, authenticeren netjes of helemaal niet, en retourneren succesvolle antwoorden”, aldus Datadog. “De zorg ligt in het geheel: een groep accounts die synchroon beweegt tussen de GitHub-organisaties van bedrijven met op maat gemaakte tools die zich in de loop van weken herhalen, en in het ergste geval actoren die stopten met opsommen en begonnen met klonen.”