休眠的GitHub账户帮助攻击者在映射企业组织时融入其中

admin 2026-07-12 06:10:04 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Datadog安全实验室警告称,攻击者利用休眠超过2年的GitHub幽灵账户及泄露的OAuth令牌,通过自动抓取工具系统枚举企业组织、仓库和成员等公共数据,甚至成功克隆私有仓库。该活动使用定制用户代理以融入正常API流量,单个请求看似无害但聚合后构成严重侦察威胁。建议组织监控异常API模式并加强令牌管理。 综合评分: 85 文章分类: 威胁情报,网络安全,安全工具,漏洞分析


cover_image

休眠的 GitHub 账户帮助攻击者在映射企业组织时融入其中

HackSee安全团队 HackSee安全团队

HackSee安全生活

2026年7月10日 19:47 北京

在小说阅读器读本章

去阅读

Datadog安全实验室对“几个重叠的活动”发出警告,这些活动通过GitHub API系统地枚举企业GitHub组织、存储库和用户帐户。

Datadog的高级安全工程师朱莉·艾格尼丝·斯帕克斯(Julie Agnes Sparks)表示:“运营商依赖于带有定制或合法用户代理的自动抓取工具,利用GitHub的‘幽灵’账户,这些账户通常已有多年的历史,或者来自合法用户的OAuth令牌和个人访问令牌(pat)受到破坏。”

虽然该活动在大多数情况下涉及针对公共数据,但选择实例已经超越了公共信息枚举,成功地克隆了私有存储库。

该活动使用了自动扫描工具,超过50个休眠帐户和数十个合法帐户,这些帐户无意中暴露了个人访问令牌(pat)或通过其他方法受到损害,以方便枚举。

值得注意的是,这些“幽灵”账户是在两到五年前创建的,在将其用于跨多个组织发出API流量之前,它们故意长时间处于不活跃状态。这种技术是战略性的,因为它旨在避免引起任何危险信号,并将活动伪装成合法的,而不是创建新账户并立即使用它们进行抓取。

由于GitHub的API表面的很大一部分无需身份验证即可访问,因此枚举查询返回必要的数据,同时融入正常的API使用。其中包括

  • 列出组织的公共存储库
  • 遍历用户的关注者和关注列表
  • 列举专家、带星号的仓库和组织成员,以及
  • 对公共对象运行GraphQL查询

威胁参与者可以使用这些信息进行侦察,并以编程方式绘制组织的github相关活动,例如其公共存储库、其成员、这些成员关注的对象以及他们修改的项目。

在一些情况下,数据访问已被证实,攻击者采取措施克隆属于单个组织的私有存储库。

单独来看,这些请求中的大多数都是不起眼的。它们到达公共端点,干净地验证或根本不验证,并返回成功的响应,”Datadog说。“问题在于聚合:一组账户在公司的GitHub组织中同步移动,版本化的定制工具迭代数周,在最坏的情况下,参与者停止枚举并开始克隆。”


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:HackSee安全生活 HackSee安全团队 HackSee安全团队《休眠的 GitHub 账户帮助攻击者在映射企业组织时融入其中》

评论:0   参与:  0