Datadog Security Labs advierte sobre “varias campañas superpuestas” que enumeran sistemáticamente organizaciones corporativas de GitHub, repositorios y cuentas de usuario a través de la API de GitHub.
“Los operadores dependen de herramientas de scraping automatizadas con agentes de usuario personalizados o que parecen legítimos, aprovechando cuentas ‘fantasmas’ de GitHub que a menudo tienen años de antigüedad, o tokens OAuth y tokens de acceso personal (PAT) comprometidos de usuarios legítimos”, dijo Julie Agnes Sparks, ingeniera de seguridad senior de Datadog.
Si bien la actividad en la mayoría de los casos implica apuntar a datos públicos, instancias seleccionadas han ido más allá de la enumeración de información pública para clonar con éxito repositorios privados.
La campaña emplea una combinación de herramientas de escaneo automatizadas, más de 50 cuentas inactivas y docenas de cuentas legítimas cuyos tokens de acceso personal (PAT) han sido expuestos involuntariamente o comprometidos mediante algún otro método para facilitar la enumeración.
Lo notable de las cuentas “fantasma” es que se crearon hace entre dos y cinco años y se dejaron inactivas intencionalmente durante períodos prolongados antes de utilizarlas como arma para emitir tráfico API en múltiples organizaciones. Esta técnica es estratégica ya que tiene como objetivo evitar generar señales de alerta y hacer pasar la actividad como legítima, en lugar de crear nuevas cuentas y usarlas inmediatamente para raspar.

Debido a que se puede acceder a una gran parte de la superficie API de GitHub sin autenticación, las consultas de enumeración devuelven los datos necesarios, mientras se combinan con el uso normal de la API. Algunos de ellos incluyen –
- Listado de los repositorios públicos de una organización
- Recorrer los seguidores de un usuario y las listas de seguimiento
- Enumerar lo esencial, los repositorios destacados y las membresías de organizaciones, y
- Ejecutar consultas GraphQL contra objetos públicos
Un actor de amenazas puede utilizar esta información para realizar un reconocimiento y mapear programáticamente la actividad relacionada con GitHub de una organización, como sus repositorios públicos, sus miembros, a quién siguen esos miembros y qué proyectos modifican.
El acceso a los datos se ha confirmado en algunos escenarios, y los atacantes tomaron medidas para clonar un repositorio privado que pertenece a una sola organización.
“Individualmente, la mayoría de estas solicitudes no tienen nada de especial. Llegan a puntos finales públicos, se autentican limpiamente o no se autentican en absoluto y devuelven respuestas exitosas”, dijo Datadog. “La preocupación radica en el agregado: un grupo de cuentas que se mueven sincronizadas entre las organizaciones GitHub de las empresas con herramientas personalizadas versionadas que se iteran durante semanas y, en el peor de los casos, actores que dejaron de enumerar y comenzaron a clonar”.



