
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Badacze bezpieczeństwa zwracają uwagę na kampanie rekonesansowe prowadzone przeciwko organizacjom korzystającym z GitHub. Napastnicy wykorzystują w nich długo nieaktywne konta, przejęte tokeny dostępu oraz automatyzację opartą o interfejsy API platformy, aby zbierać informacje o zespołach, projektach i relacjach między użytkownikami.
Problem jest istotny, ponieważ duża część takiej aktywności może przypominać zwykłe korzystanie z usług deweloperskich. W efekcie organizacje mogą nie zauważyć, że obserwowany ruch nie służy codziennej pracy programistycznej, lecz systematycznemu rozpoznaniu przed kolejnymi etapami ataku.
W skrócie
- Zaobserwowano wiele kampanii enumerujących organizacje, repozytoria i konta użytkowników GitHub.
- Napastnicy korzystają z ponad 50 uśpionych kont oraz z legalnych kont, których tokeny PAT lub OAuth zostały przejęte albo ujawnione.
- Znaczna część działań opiera się na publicznych endpointach API GitHub, co utrudnia odróżnienie rekonesansu od normalnego użycia platformy.
- W części przypadków potwierdzono także sklonowanie prywatnego repozytorium należącego do jednej z organizacji.
Kontekst / historia
GitHub od lat pozostaje jednym z kluczowych elementów współczesnego łańcucha dostaw oprogramowania. Publiczne repozytoria, profile użytkowników, obserwowane projekty, listy kontaktów oraz powiązania organizacyjne tworzą szeroki zbiór danych, który jest użyteczny nie tylko dla zespołów programistycznych, ale również dla przeciwników prowadzących działania wywiadowcze.
W analizowanych incydentach atakujący nie ograniczali się do prostego, masowego skanowania. Zamiast tego używali kont, które przez długi czas pozostawały nieaktywne, a następnie zaczynały wykonywać zapytania API wobec wielu organizacji. Taka taktyka zwiększa wiarygodność działań i obniża ryzyko natychmiastowego wzbudzenia podejrzeń po stronie mechanizmów detekcji.
Analiza techniczna
Mechanizm kampanii opiera się na zautomatyzowanej enumeracji zasobów GitHub z wykorzystaniem publicznych i uwierzytelnionych zapytań do API. Napastnicy używają zarówno kont typu ghost, jak i przejętych tokenów użytkowników, aby stopniowo budować mapę relacji wewnątrz organizacji oraz identyfikować cenne zasoby.
Szczególnie ważne jest to, że część powierzchni API GitHub pozostaje dostępna bez uwierzytelnienia. Dzięki temu napastnicy mogą rozpocząć rekonesans bez konieczności natychmiastowego użycia skradzionych poświadczeń, a dopiero później przejść do bardziej wrażliwych operacji.
Obserwowane działania obejmowały między innymi:
- listowanie publicznych repozytoriów organizacji,
- analizę relacji followers i following,
- enumerację gistów, gwiazdek oraz członkostwa w organizacjach,
- wykonywanie zapytań GraphQL wobec publicznych obiektów,
- używanie niestandardowych lub brzmiących legalnie identyfikatorów user-agent.
Z operacyjnego punktu widzenia taki zestaw danych pozwala odtworzyć strukturę aktywności firmy w GitHub. Atakujący mogą ustalić, które projekty są rozwijane publicznie, którzy użytkownicy są z nimi powiązani, jakie zależności społeczne występują między deweloperami oraz które obszary kodu mogą mieć największe znaczenie dla bezpieczeństwa łańcucha dostaw.
Najbardziej niepokojące jest jednak to, że w części przypadków kampania nie zakończyła się na samym zbieraniu metadanych. Potwierdzono również sklonowanie prywatnego repozytorium, co wskazuje, że etap rekonesansu może służyć jako przygotowanie do kradzieży własności intelektualnej, analizy pipeline’ów CI/CD, poszukiwania sekretów lub dalszych ataków na proces wytwarzania oprogramowania.
Konsekwencje / ryzyko
Ryzyko dla organizacji ma charakter wielowarstwowy. Nawet jeśli pierwszy etap obejmuje wyłącznie dane publiczne, napastnik może wyprowadzić z nich informacje o wysokiej wartości operacyjnej. Dotyczy to identyfikacji kluczowych programistów, technologii wykorzystywanych w projektach, wzorców współpracy oraz potencjalnych ścieżek dalszej kompromitacji.
Dodatkowym zagrożeniem jest użycie legalnych lub przejętych tokenów PAT i OAuth. W takiej sytuacji aktywność może wyglądać jak standardowe korzystanie z kont pracowniczych, co utrudnia wykrycie i wydłuża czas obecności przeciwnika w środowisku.
Potencjalne skutki obejmują:
- ujawnienie prywatnego kodu źródłowego,
- identyfikację sekretów i konfiguracji CI/CD,
- przygotowanie ataków na zależności i proces release management,
- profilowanie pracowników pod kątem spear-phishingu,
- obejście podstawowych mechanizmów detekcji dzięki użyciu kont z długą historią.
Rekomendacje
Organizacje powinny traktować GitHub jako krytyczny element swojej powierzchni ataku. Oznacza to konieczność monitorowania aktywności API, tokenów oraz nietypowych wzorców enumeracji, nawet jeśli dotyczą one danych publicznych.
Zalecane działania obejmują:
- przegląd i rotację wszystkich aktywnych tokenów PAT oraz integracji OAuth,
- wdrożenie zasady minimalnych uprawnień dla użytkowników i aplikacji,
- inwentaryzację kont powiązanych z organizacją oraz usunięcie nieużywanych dostępów,
- monitorowanie masowego pobierania metadanych i nietypowych sekwencji zapytań API,
- korelację aktywności między wieloma kontami wykonującymi podobne operacje w zbliżonym czasie,
- analizę klonowania repozytoriów prywatnych oraz alertowanie o odstępstwach od normy,
- egzekwowanie uwierzytelniania wieloskładnikowego dla kont uprzywilejowanych,
- skanowanie repozytoriów i pipeline’ów pod kątem wycieków sekretów,
- segmentację dostępu do kodu zgodnie z zasadą need-to-know,
- okresowe ćwiczenia threat huntingowe ukierunkowane na rekonesans w środowiskach deweloperskich.
Z perspektywy SOC i AppSec warto rozszerzyć modele detekcji o słabe sygnały, które pojedynczo wydają się nieszkodliwe, lecz łącznie wskazują na zorganizowaną kampanię. W tym przypadku to właśnie agregacja wielu pozornie legalnych żądań stanowi najważniejszy wskaźnik zagrożenia.
Podsumowanie
Opisane kampanie pokazują, że rekonesans w ekosystemie GitHub staje się coraz bardziej dojrzały operacyjnie i trudniejszy do wykrycia. Wykorzystanie wieloletnich, wcześniej nieaktywnych kont oraz przejętych tokenów pozwala napastnikom wiarygodnie imitować normalne zachowania użytkowników.
Choć znaczna część aktywności dotyczy publicznie dostępnych danych, skutkiem może być precyzyjne mapowanie organizacji, a nawet dostęp do prywatnych repozytoriów. Dla firm oznacza to potrzebę ścisłej kontroli tokenów, monitorowania aktywności deweloperskiej i traktowania platform kodowych jako pełnoprawnego obszaru obrony cyberbezpieczeństwa.