文章总结: Datadog安全实验室警告攻击者正利用两到五年前的休眠GitHub账户及泄露的个人访问令牌,系统性枚举企业组织与仓库。幽灵账户通过长期不活跃规避检测,伪装成正常流量获取公开信息,部分案例甚至克隆了私有仓库。建议企业加强API聚合行为监控,对历史休眠账户的突发活跃进行告警,并严格审计轮换可能泄露的令牌,以防范代码资产泄露风险。 综合评分: 80 文章分类: 威胁情报,供应链安全,安全运营
休眠的 GitHub 账户帮助攻击者在映射企业组织时融入其中
HackSee安全团队 HackSee安全团队
HackSee安全生活
2026年7月10日 19:47 北京
在小说阅读器读本章
去阅读
Datadog安全实验室对“几个重叠的活动”发出警告,这些活动通过GitHub API系统地枚举企业GitHub组织、存储库和用户帐户。
Datadog的高级安全工程师朱莉·艾格尼丝·斯帕克斯(Julie Agnes Sparks)表示:“运营商依赖于带有定制或合法用户代理的自动抓取工具,利用GitHub的‘幽灵’账户,这些账户通常已有多年的历史,或者来自合法用户的OAuth令牌和个人访问令牌(pat)受到破坏。”
虽然该活动在大多数情况下涉及针对公共数据,但选择实例已经超越了公共信息枚举,成功地克隆了私有存储库。
该活动使用了自动扫描工具,超过50个休眠帐户和数十个合法帐户,这些帐户无意中暴露了个人访问令牌(pat)或通过其他方法受到损害,以方便枚举。
值得注意的是,这些“幽灵”账户是在两到五年前创建的,在将其用于跨多个组织发出API流量之前,它们故意长时间处于不活跃状态。这种技术是战略性的,因为它旨在避免引起任何危险信号,并将活动伪装成合法的,而不是创建新账户并立即使用它们进行抓取。
由于GitHub的API表面的很大一部分无需身份验证即可访问,因此枚举查询返回必要的数据,同时融入正常的API使用。其中包括
- 列出组织的公共存储库
- 遍历用户的关注者和关注列表
- 列举专家、带星号的仓库和组织成员,以及
- 对公共对象运行GraphQL查询
威胁参与者可以使用这些信息进行侦察,并以编程方式绘制组织的github相关活动,例如其公共存储库、其成员、这些成员关注的对象以及他们修改的项目。
在一些情况下,数据访问已被证实,攻击者采取措施克隆属于单个组织的私有存储库。
单独来看,这些请求中的大多数都是不起眼的。它们到达公共端点,干净地验证或根本不验证,并返回成功的响应,”Datadog说。“问题在于聚合:一组账户在公司的GitHub组织中同步移动,版本化的定制工具迭代数周,在最坏的情况下,参与者停止枚举并开始克隆。”
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:HackSee安全生活 HackSee安全团队 HackSee安全团队《休眠的 GitHub 账户帮助攻击者在映射企业组织时融入其中》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论