文章总结: 研究发现黑客利用50多个休眠GitHub账户构建企业源代码侦察网络,通过API收集公开信息并尝试访问私有仓库,使用被盗OAuth令牌和自动化工具。攻击活动从10月开始,涉及多个重叠行动。安全团队应启用审计日志、建立API活动基线并调查异常请求。 综合评分: 85 文章分类: 威胁情报,漏洞分析,安全运营,数据泄露,红队
黑客利用 50 多个休眠的 GitHub 账户构建企业源代码侦察网络
原创
网络安全9527 网络安全9527
安全圈的那点事儿
2026年7月10日 19:26 北京
在小说阅读器读本章
去阅读
研究发现,有组织利用不活跃的GitHub 帐户以外的资源来绘制企业组织、代码库和开发者的分布图。
该活动依赖 GitHub 的 API 来收集公开信息。然而,一些运营者也试图访问私有源代码库,并且在极少数情况下成功了。
这些攻击活动至少从 10 月份就开始了。研究人员观察到,这些攻击并非由单一威胁行为者发起,而是多个相互重叠的行动,这些行动使用了自动化工具、被盗用的访问令牌以及长期处于休眠状态的“幽灵”账户网络。
这些账户大多创建于两到五年前,一直处于不活跃状态,直到突然开始向多个GitHub组织发出API请求。
这种老化策略可能有助于攻击者看起来比用于大规模数据抓取的新创建的账户更合法。
黑客劫持 GitHub 账户进行侦察
这些账户遵循可识别的命名模式,包括 amazon-data-* 前缀、*-orb 系列以及重复的用户名,例如 BirdWithDreams、BirdWithPlan、user432023 和 user412023。
Datadog 证实,参与侦察活动的账户数量远不止这些,这些账户通常只运行一到三周就会销声匿迹。
攻击者主要查询了 GitHub 的 /graphql 端点,该端点支持批量请求组织、用户和存储库信息。
他们还使用 REST API 路由来列出公共存储库、组织成员、关注者、gist、星标项目和用户活动。
由于这些数据大多是公开的,因此请求通常会返回成功的 HTTP 响应。它们看起来像是合法使用GitHub API。
攻击者可以利用这些信息,详细了解一家公司的开发人员、项目、技术栈、开源软件使用情况以及潜在的进一步攻击目标。
多个攻击活动使用了可疑的用户代理字符串,包括 GitHub-Company-Scraper、GitHub-Scraper-Tool/1.0 和 GitHubAnalytics/1.5。
其他工具则试图通过使用与分析、仪表盘、监控或存储库分析相关的名称来显得合法。
其中一项攻击活动使用了简单的请求用户代理,这与更常见的带版本号的工具名称截然不同。Datadog 还发现了涉及被盗 OAuth 令牌和个人访问令牌的活动。
从 12 月下旬到 1 月初,数十名合法 GitHub 用户的凭证被盗用,并在几分钟内被用于访问一个组织。
操作员轮流使用 GitHub-Commit-Fetcher/1.3、GitHub-Commit-Fetcher/1.4 和 GitHub-Event-Fetcher/2.2 等用户代理。
这些请求试图列出存储库、检索提交数据和访问私有存储库路径。
虽然许多私有存储库请求都失败了,但Datadog 记录了一起已确认的事件,其中一个名为 repo-dumper 的工具成功地对私有存储库执行了 git clone 和 API 操作。
该活动重点展示了公开的 GitHub 元数据如何在攻击者试图滥用凭证或窃取源代码之前支持企业侦察。
安全团队应启用 GitHub 审计日志流,并在其环境中建立正常 API 活动的基线。
防御者应调查涉及私有存储库的成功 API 请求、Git 克隆操作和 ZIP 下载,尤其是在使用 OAuth 令牌或个人访问令牌时。
关键信号包括异常用户代理、意外帐户活动、可疑令牌类型、异常请求量以及与 3xktech[.]cloud 和 cherryservers[.]com 等托管提供商关联的源基础设施。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《黑客利用 50 多个休眠的 GitHub 账户构建企业源代码侦察网络》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论