← Voltar ao blog

Contas Inativas do GitHub Expondo Bases de Código Corporativas a Scraping Silencioso

Atacantes estão utilizando contas antigas do GitHub para mapear organizações corporativas sem serem detectados. Essas contas fantasmas permitem reconhecimento persistente por meio da API do GitHub.

TL;DR

  • Múltiplos atores maliciosos estão escaneando sistematicamente organizações corporativas no GitHub usando contas inativas
  • Essas contas 'fantasma' têm frequentemente anos de existência, tornando-as aparentemente legítimas para evadir detecção
  • Ferramentas automatizadas com agentes de usuário realistas estão fazendo scraping de repositórios e dados de usuários em larga escala
  • Tokens OAuth comprometidos também estão sendo utilizados para acesso não autorizado
  • As organizações devem auditar contas inativas e monitorar padrões de uso da API

Pesquisadores de segurança do Datadog Security Labs descobriram campanhas coordenadas direcionando infraestruturas corporativas no GitHub por meio de métodos sofisticados de reconhecimento. Esses ataques utilizam contas do GitHub com aparência legítima, mas inativas, para evitar detecção enquanto mapeiam sistematicamente estruturas organizacionais, repositórios e contas de usuários.

Os atores maliciosos empregam ferramentas automatizadas de scraping que imitam padrões normais de tráfego do GitHub, dificultando distinguir suas atividades de uso legítimo. Esta técnica representa uma evolução significativa na forma como os atacantes coletam inteligência sobre alvos potenciais antes de lançar ataques mais diretos.

Táticas de Reconhecimento

  • Atacantes usam a API do GitHub para enumerar organizações corporativas, repositórios e contas de usuários
  • Ferramentas automatizadas de scraping utilizam agentes de usuário personalizados ou com nomes plausíveis para evitar suspeitas
  • Contas fantasmas com anos de existência fornecem credibilidade e ajudam a contornar o monitoramento de segurança
  • Algumas campanhas aproveitam tokens OAuth comprometidos para acesso autenticado a recursos privados

Recomendações Defensivas

  • Audite organizações do GitHub em busca de contas inativas ou não utilizadas que possam ser exploradas
  • Monitore padrões de uso da API em busca de atividades incomuns de enumeração provenientes de contas aparentemente legítimas
  • Implemente limitação de taxa e controles de acesso nos endpoints da API do GitHub
  • Revise e renove regularmente tokens OAuth para prevenir acessos não autorizados
  • Configure alertas de monitoramento para comportamentos suspeitos de varredura em repositórios

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Contas Inativas do GitHub Expondo Bases de Código Corporativas a Scraping Silencioso — Agent Breach Blog | Agent Breach