A Datadog Security Labs está alertando para “várias campanhas sobrepostas” que estão enumerando de forma sistemática organizações corporativas no GitHub, além de repositórios e contas de usuários, por meio da API do GitHub.
“Os operadores usam ferramentas automatizadas de scraping com user agents personalizados ou que parecem legítimos, explorando contas ‘ghost’ do GitHub, muitas vezes criadas há anos, ou tokens OAuth comprometidos e personal access tokens (PATs) de usuários legítimos”, afirmou Julie Agnes Sparks, engenheira sênior de segurança da Datadog.
Na maioria dos casos, a atividade mira dados públicos.
Em alguns episódios, porém, a ação foi além da coleta de informações abertas e conseguiu clonar repositórios privados.
A campanha combina ferramentas automatizadas de varredura, mais de 50 contas inativas e dezenas de contas legítimas cujos personal access tokens (PATs) foram expostos sem intenção ou comprometidos por outros meios, para viabilizar a enumeração.
O ponto mais chamativo das contas “ghost” é que elas foram criadas entre dois e cinco anos atrás e permaneceram inativas por longos períodos antes de serem usadas para gerar tráfego de API em múltiplas organizações.
A estratégia é calculada para evitar alertas e fazer a atividade parecer legítima, em vez de criar contas novas e usá-las imediatamente para scraping.
Como boa parte da superfície da API do GitHub pode ser acessada sem autenticação, as consultas de enumeração retornam os dados necessários enquanto se misturam ao uso normal da plataforma.
Entre os alvos observados estão:
Listar os repositórios públicos de uma organização
Percorrer listas de seguidores e perfis seguidos de um usuário
Enumerar gists, repositórios marcados com estrela e associações a organizações
Executar consultas GraphQL sobre objetos públicos
Essas informações podem ser usadas por um threat actor para fazer reconhecimento e mapear programaticamente a atividade de uma organização no GitHub, incluindo repositórios públicos, membros, quem esses membros seguem e quais projetos eles modificam.
Em alguns casos, o acesso aos dados foi confirmado, com os atacantes tomando medidas para clonar um repositório privado pertencente a uma única organização.
“Individualmente, a maioria dessas requisições não chama atenção.
Elas atingem endpoints públicos, autenticam corretamente ou nem sequer exigem autenticação, e retornam respostas bem-sucedidas”, disse a Datadog.
“A preocupação está no conjunto: um grupo de contas se movendo em sincronia por organizações de GitHub de empresas, com ferramentas personalizadas versionadas iterando por semanas e, no pior caso, agentes que pararam de enumerar e passaram a clonar.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...