
Datadog Security Labs advierte sobre «múltiples campañas superpuestas» que enumeran sistemáticamente las organizaciones, repositorios y cuentas de usuario de GitHub de una empresa a través de la API de GitHub.
«Los operadores dependen de herramientas de raspado automatizadas con agentes de usuario personalizados o aparentemente legítimos, a menudo aprovechando cuentas «fantasmas» de GitHub de hace años, así como tokens OAuth comprometidos y tokens de acceso personal (PAT) de usuarios legítimos, dijo Julie Agnes Sparks, ingeniera de seguridad senior de Datadog.
En la mayoría de los casos, la actividad implica apuntar a datos públicos, pero algunos casos han ido más allá de enumerar información pública y clonar con éxito repositorios privados.
La campaña utiliza una combinación de herramientas de escaneo automatizadas, más de 50 cuentas inactivas y docenas de cuentas legítimas cuyos tokens de acceso personal (PAT) han sido expuestos o comprometidos de otro modo inadvertidamente para facilitar la enumeración.
Lo notable de las cuentas «fantasma» es que se crearon hace entre dos y cinco años y se dejaron inactivas intencionalmente durante largos períodos de tiempo antes de ser utilizadas como arma para enviar tráfico API a múltiples organizaciones. Esta técnica es estratégica porque tiene como objetivo evitar generar señales de alerta y disfrazar la actividad como legítima, en lugar de crear una nueva cuenta y usarla inmediatamente para raspar.

Se puede acceder a la mayor parte de la superficie API de GitHub sin autenticación, por lo que las consultas de enumeración se combinan con el uso normal de la API mientras devuelven los datos que necesita. Algunos de ellos son –
Enumere los repositorios públicos de su organización. Realice un seguimiento de los seguidores de los usuarios y las listas de seguimiento. Enumere lo esencial, los repositorios destacados, la membresía de la organización y ejecute consultas GraphQL en objetos públicos.
Los actores de amenazas podrían utilizar esta información para realizar reconocimientos y planificar programáticamente las actividades relacionadas con GitHub de una organización, como repositorios públicos, sus miembros, a quién siguen y los proyectos que modifican.
El acceso a los datos se ha observado en varios escenarios, y los atacantes recurren a la clonación de repositorios privados que pertenecen a una única organización.
«Individualmente, la mayoría de estas solicitudes no tienen nada de especial. Llegan al punto final público, se autentican exitosamente o no se autentican en absoluto y devuelven una respuesta exitosa», dijo Datadog. «Las preocupaciones son generalizadas: hay herramientas con versiones personalizadas que se repiten durante semanas, grupos de cuentas que se mueven sincronizadas entre organizaciones corporativas de GitHub y, lo peor de todo, actores que dejan de enumerar y comienzan a clonar».
Source link
