A Datadog Security Labs arra figyelmeztet, hogy „több, egymást átfedő kampány” módszeresen térképezi fel a vállalati GitHub-szervezeteket, tárolókat és felhasználói fiókokat a GitHub API-n keresztül.
„Az üzemeltetők automatizált adatgyűjtő eszközökre támaszkodnak, amelyek egyedi vagy legiGitimnek hangzó user agenteket használnak. Ehhez gyakran évekkel ezelőtt létrehozott, alvó GitHub-fiókokat vetnek be, illetve feltört OAuth-tokeneket és személyes hozzáférési tokeneket (PAT-eket) legiGitim felhasználóktól” – mondta Julie Agnes Sparks, a Datadog vezető biztonsági mérnöke nyilatkozatában.
A legtöbb esetben a tevékenység nyilvános adatokra irányul, de néhány alkalommal túlléptek a nyilvános információk egyszerű felsorolásán, és sikeresen klónoztak privát tárolókat is.
A kampány automatizált szkenner eszközök, több mint 50 alvó fiók és tucatnyi legiGitim fiók kombinációját használja. Ezeknél a személyes hozzáférési tokenek (PAT-ek) akaratlanul kiszivárogtak, vagy más módon kompromittálódtak, és így segítik a rendszerszintű feltérképezést.
A „szellem” fiókok különlegessége, hogy 2–5 éve hozták létre őket, majd szándékosan hosszú ideig inaktívan hagyták, mielőtt bevetették volna őket, hogy API-forgalmat generáljanak több szervezet irányába. Ez tudatos stratégia: célja, hogy ne keltsen gyanút, és legiGitim tevékenységnek tűnjön, szemben azzal, amikor új fiókokat hoznak létre, és azonnal adatgyűjtésre használják őket.
Mivel a GitHub API-felületének jelentős része hitelesítés nélkül is elérhető, a lekérdezések visszaadják a szükséges adatokat, miközben beleolvadnak a normál API-használatba. Ilyen műveletek például:
- egy szervezet nyilvános tárolóinak listázása
- egy felhasználó követőinek és követettjeinek végigjárása
- gistek, csillagozott tárolók és szervezeti tagságok felsorolása
- GraphQL-lekérdezések futtatása nyilvános objektumokra
Ezekből az adatokból a támadók felderítést végezhetnek, és programozottan feltérképezhetik egy szervezet GitHub-hoz kapcsolódó tevékenységét: a nyilvános tárolókat, a tagokat, azt, hogy kiket követnek, és mely projekteket módosítják.
Néhány esetben megerősítették az adat-hozzáférést is: a támadók lépéseket tettek egyetlen szervezethez tartozó privát tároló klónozására.
„Önmagukban a legtöbb ilyen kérés nem feltűnő. Nyilvános végpontokat érnek el, szabályosan hitelesítenek – vagy egyáltalán nem –, és sikeres válaszokat kapnak” – közölte a Datadog. „Az összkép az aggasztó: fiókok csoportja mozog összehangoltan különböző cégek GitHub-szervezetei között, verziózott, egyedi eszközökkel, heteken át iterálva, és a legrosszabb esetben a puszta felsorolásról átváltanak a klónozásra.”

