休眠 GitHub 账户帮助攻击者在映射企业组织时隐藏行踪

休眠 GitHub 账户帮助攻击者在映射企业组织时隐藏行踪

导语:Datadog Security Labs 披露了一场针对企业 GitHub 组织的大规模枚举攻击活动。攻击者利用多年休眠的"幽灵"账户及被窃取的令牌,巧妙混入正常 API 流量之中,并在部分案例中成功克隆了私有仓库。这一攻击模式对企业的代码资产安全构成严重威胁。

Datadog Security Labs 发出警告,称存在"多个重叠的攻击活动",正通过 GitHub API 系统性地枚举企业的 GitHub 组织、仓库和用户账户。这些活动结合了自动化抓取工具、经过精心维护的"幽灵"账户以及合法的被入侵账户,呈现出高度协同的特征。

Datadog 高级安全工程师 Julie Agnes Sparks 表示:"运营者依赖自动化抓取工具,使用自定义或听起来合法的 User-Agent,利用常常存在多年的 GitHub 幽灵账户,或来自合法用户被泄露的 OAuth 令牌及个人访问令牌(PAT)。"这些手段使得攻击流量在常规 API 调用中难以被察觉,给企业的安全监测带来严峻挑战。

虽然多数情况下攻击活动仅针对公开数据,但也有部分案例超出了公开信息枚举的范围,成功克隆了受害者的私有仓库。攻击者通过 GitHub API 收集企业组织的成员信息、关注关系以及项目修改记录等情报,并以此为基础进行更深层次的渗透。

整个攻击活动综合运用了自动化扫描工具、超过 50 个休眠账户,以及数十个合法账户——这些合法账户的个人访问令牌(PAT)要么被无意暴露,要么通过其他方式被攻击者获取,从而为枚举行为提供便利。

原文配图

"幽灵"账户最值得关注的特征是:它们均在 2 到 5 年前创建,并被刻意保持长时间不活动,随后才被武器化用于跨多个组织发起 API 流量。这种策略具有明显的规避意图——避免触发安全告警,让活动看起来像是正常用户行为,而不是新创建账户立即用于抓取的可疑操作。

由于 GitHub API 的大部分接口无需认证即可访问,枚举查询能够顺利返回所需数据,同时混入正常的 API 使用流量中,难以与合法请求区分。攻击者收集到的信息包括组织的公开仓库、成员列表、成员的关注对象以及他们所参与修改的项目。

Datadog 指出:"在大多数情况下,这些单独的请求并不起眼,它们访问公开接口,认证方式要么正常、要么完全不需要认证,并返回成功响应。问题在于整体行为模式——一组账户在多家企业的 GitHub 组织间同步活动,使用迭代更新的版本化自定义工具,持续数周时间;最严重的情况是,攻击者从单纯的枚举转向了实际的仓库克隆。"Datadog 已确认在少数场景中,攻击者成功访问了数据,并采取步骤克隆了属于某家企业的私有仓库。


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/dormant-github-accounts-help-attackers.html

作者:info@thehackernews.com (The Hacker News)