文章总结: Datadog安全实验室警告称,攻击者利用休眠超过2年的GitHub幽灵账户及泄露的OAuth令牌,通过自动抓取工具系统枚举企业组织、仓库和成员等公共数据,甚至成功克隆私有仓库。该活动使用定制用户代理以融入正常API流量,单个请求看似无害但聚合后构成严重侦察威胁。建议组织监控异常API模式并加强令牌管理。 综合评分: 85 文章分类: 威胁情报,网络安全,安全工具,漏洞分析
休眠的 GitHub 账户帮助攻击者在映射企业组织时融入其中
HackSee安全团队 HackSee安全团队
HackSee安全生活
2026年7月10日 19:47 北京
在小说阅读器读本章
去阅读
Datadog安全实验室对“几个重叠的活动”发出警告,这些活动通过GitHub API系统地枚举企业GitHub组织、存储库和用户帐户。
Datadog的高级安全工程师朱莉·艾格尼丝·斯帕克斯(Julie Agnes Sparks)表示:“运营商依赖于带有定制或合法用户代理的自动抓取工具,利用GitHub的‘幽灵’账户,这些账户通常已有多年的历史,或者来自合法用户的OAuth令牌和个人访问令牌(pat)受到破坏。”
虽然该活动在大多数情况下涉及针对公共数据,但选择实例已经超越了公共信息枚举,成功地克隆了私有存储库。
该活动使用了自动扫描工具,超过50个休眠帐户和数十个合法帐户,这些帐户无意中暴露了个人访问令牌(pat)或通过其他方法受到损害,以方便枚举。
值得注意的是,这些“幽灵”账户是在两到五年前创建的,在将其用于跨多个组织发出API流量之前,它们故意长时间处于不活跃状态。这种技术是战略性的,因为它旨在避免引起任何危险信号,并将活动伪装成合法的,而不是创建新账户并立即使用它们进行抓取。
由于GitHub的API表面的很大一部分无需身份验证即可访问,因此枚举查询返回必要的数据,同时融入正常的API使用。其中包括
- 列出组织的公共存储库
- 遍历用户的关注者和关注列表
- 列举专家、带星号的仓库和组织成员,以及
- 对公共对象运行GraphQL查询
威胁参与者可以使用这些信息进行侦察,并以编程方式绘制组织的github相关活动,例如其公共存储库、其成员、这些成员关注的对象以及他们修改的项目。
在一些情况下,数据访问已被证实,攻击者采取措施克隆属于单个组织的私有存储库。
单独来看,这些请求中的大多数都是不起眼的。它们到达公共端点,干净地验证或根本不验证,并返回成功的响应,”Datadog说。“问题在于聚合:一组账户在公司的GitHub组织中同步移动,版本化的定制工具迭代数周,在最坏的情况下,参与者停止枚举并开始克隆。”
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:HackSee安全生活 HackSee安全团队 HackSee安全团队《休眠的 GitHub 账户帮助攻击者在映射企业组织时融入其中》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论