文章总结: DatadogSecurityLabs披露多组活动通过GitHubAPI对企业组织进行系统性枚举,使用沉睡账号和泄露令牌。公开仓库信息可被拼接用于攻击准备,企业应盘点公开资产、启用审计日志、实施最小权限令牌管理并监控私有仓库异常访问。这不是GitHub漏洞,但需持续管理公开暴露面。 综合评分: 85 文章分类: 威胁情报,安全运营,红队,数据泄露,安全意识
GitHub “僵尸账号”盯上组织图谱:公开仓库不是“无关紧要的信息”
原创
tcode tcode
字节脉搏实验室
2026年7月13日 10:08 北京
在小说阅读器读本章
去阅读
“仓库是公开的,所以被看见也没关系。”这句话只说对了一半。单个公开仓库可能确实不含机密,但当组织成员、代码项目、关注关系、技术栈线索和历史活动被持续拼接时,它们会成为攻击者绘制目标地图的材料。
Datadog Security Labs 近期披露,多组活动正通过 GitHub API 对企业组织、仓库和用户账号进行系统性枚举。SecurityWeek 在 7 月 11 日的报道中将这类沉睡多年、重新活跃的账号称为“ghost accounts”。这不是一次传统意义上的“GitHub 被入侵”,但它给所有依赖代码托管协作的团队提了个醒:公开暴露面需要像资产一样被持续管理。
事件概述
Datadog 的研究发布时间为 2026 年 7 月 8 日。研究人员表示,他们观察到的并非单一攻击者,而是多组相互重叠的活动:有自动化抓取工具,也有对泄露 OAuth 令牌和个人访问令牌的滥用,还有协同使用的沉睡账号网络。
研究称,这些账号通常创建于两到五年前,长期不活跃后再被用于短周期的组织信息枚举。大量请求面向公开数据,因此会返回正常成功状态,外观上很像合法 API 使用。少数案例则跨越了公开信息摸排,出现了对私有仓库数据的访问或导出。
核心事实
已确认的事实是:Datadog 自 2025 年 10 月以来确认了 50 多个参与枚举的沉睡账号;研究指出,公开 API 查询本身并不等于未授权访问,但它可以帮助攻击者梳理组织成员、项目关系和潜在高价值目标。
Datadog 同时披露,部分活动使用了真实用户泄露或被盗用的 OAuth 令牌、个人访问令牌。研究中记录到过针对私有仓库的访问尝试,也记录到少数已确认的私有资源数据访问。SecurityWeek 于 2026 年 7 月 11 日对该研究进行了报道。
需要区分的是:公开数据枚举不是“GitHub 漏洞”,也不能把所有 API 查询都视为攻击。风险来自持续、协调的行为,以及它与令牌泄露、私有仓库访问之间可能形成的组合。
影响分析
攻击者在真正尝试登录前,往往已经完成大量准备工作:谁维护核心项目、哪些仓库与生产系统相关、组织使用哪些框架、工程师之间有什么协作关系、哪些账号可能拥有较高权限。公开信息本身未必泄密,但它会降低后续钓鱼、凭据攻击和冒充沟通的成本。
对企业而言,更值得警惕的是“正常成功的请求”。传统安全监控很擅长发现失败登录和明显异常,但对公共 API 的高频成功查询、异常用户代理、令牌在短时间访问多个私有资源等情况,往往缺少基线和告警。
企业应对建议
1. 盘点组织公开仓库、公开成员信息、历史 issue、示例配置和文档,删除不必要的内部地址、测试密钥、架构细节与过期项目。
2. 为 GitHub 组织启用审计日志流,并建立“谁在什么时间、以何种令牌、访问了哪些私有资源”的可查询基线。
3. 对个人访问令牌和 OAuth 授权执行最小权限、最短有效期与定期清理;离职、岗位变化和异常终端事件应触发令牌复核。
4. 重点监控私有仓库的异常克隆、批量下载、跨组织访问和非预期的程序化访问,而不是只看登录失败次数。
5. 将代码托管平台纳入社工防护场景:维护者、发布者和安全联系人尤其要警惕伪装成协作请求、漏洞报告或依赖更新的沟通。
6. 对公开仓库采用“可公开,但不应帮助攻击者理解内部边界”的标准进行复核。
事实 / 推测 / 观点
事实:Datadog 公开研究描述了多组 GitHub API 枚举活动、沉睡账号网络、令牌滥用案例及少数私有资源访问情况;SecurityWeek 对该研究进行了报道。
推测:单个组织是否已被该类活动针对,需要结合自身 GitHub 审计日志、令牌记录和仓库操作历史判断,不能从行业报告直接推导。
观点:公开仓库治理不是让团队“停止开源”,而是让公开内容与内部高价值资产之间少一条可被自动拼接的线索链。
结语
真正成熟的代码托管安全,不是把所有内容都设为私有,而是知道哪些内容可以公开、哪些权限必须收紧、哪些成功请求也值得告警。攻击者先画地图,防守者就更应该先看清自己的地图。
关键来源
• Datadog Security Labs,Coordinated GitHub API enumeration and access token abuse,2026-07-08:https://securitylabs.datadoghq.com/articles/coordinated-github-api-enumeration/
• SecurityWeek,Ghost Accounts Abuse GitHub API in Mass Recon Campaign,2026-07-11 1:30 PM ET:https://www.securityweek.com/ghost-accounts-abuse-github-api-in-mass-recon-campaign/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:字节脉搏实验室 tcode tcode《GitHub “僵尸账号”盯上组织图谱:公开仓库不是“无关紧要的信息”》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论