تحذر Datadog Security Labs من “العديد من الحملات المتداخلة” التي تقوم بشكل منهجي بتعداد مؤسسات GitHub والمستودعات وحسابات المستخدمين من خلال GitHub API.
قالت جولي أغنيس سباركس، كبيرة مهندسي الأمن في Datadog: “يعتمد المشغلون على أدوات الاستخلاص الآلية باستخدام وكلاء مستخدمين مخصصين أو يبدون شرعيين، مع الاستفادة من حسابات GitHub “الشبحية” التي غالبًا ما يكون عمرها سنوات، أو رموز OAuth المميزة ورموز الوصول الشخصية (PATs) من المستخدمين الشرعيين”.
في حين أن النشاط في معظم الحالات يتضمن استهداف البيانات العامة، فقد تجاوزت بعض الحالات المحددة تعداد المعلومات العامة لاستنساخ المستودعات الخاصة بنجاح.
تستخدم الحملة مزيجًا من أدوات المسح الآلي، وأكثر من 50 حسابًا خاملًا، وعشرات الحسابات الشرعية التي تم الكشف عن رموز الوصول الشخصية (PATs) الخاصة بها عن غير قصد أو تم اختراقها من خلال طريقة أخرى لتسهيل التعداد.
ما هو ملحوظ في الحسابات “الخفية” هو أنها تم إنشاؤها قبل عامين إلى خمسة أعوام وتركت عمدًا غير نشطة لفترات طويلة من الوقت قبل تسليحها لإصدار حركة مرور واجهة برمجة التطبيقات (API) عبر مؤسسات متعددة. تعتبر هذه التقنية استراتيجية لأنها تهدف إلى تجنب رفع أي إشارات حمراء وتمرير النشاط على أنه مشروع، بدلاً من إنشاء حسابات جديدة واستخدامها فورًا لاستخراجها.

نظرًا لأنه يمكن الوصول إلى جزء كبير من سطح واجهة برمجة التطبيقات (API) لـ GitHub دون مصادقة، فإن استعلامات التعداد تُرجع البيانات الضرورية، أثناء مزجها مع الاستخدام العادي لواجهة برمجة التطبيقات (API). بعضها يشمل –
- إدراج المستودعات العامة للمنظمة
- المشي متابعي المستخدم والقوائم التالية
- تعداد العناصر، والمستودعات المميزة بنجمة، وعضويات المؤسسة، و
- تشغيل استعلامات GraphQL على الكائنات العامة
يمكن استخدام هذه المعلومات من قبل جهة التهديد لإجراء الاستطلاع ورسم خريطة برمجية للنشاط المرتبط بـ GitHub للمؤسسة، مثل مستودعاتها العامة، وأعضائها، ومن يتابعهم هؤلاء الأعضاء، والمشاريع التي يقومون بتعديلها.
تم تأكيد الوصول إلى البيانات في عدد قليل من السيناريوهات، حيث يتخذ المهاجمون خطوات لاستنساخ مستودع خاص ينتمي إلى مؤسسة واحدة.
وقال Datadog: “معظم هذه الطلبات بشكل فردي غير ملحوظة. فهي تصل إلى نقاط النهاية العامة، وتتحقق بشكل نظيف أو لا يتم التحقق منها على الإطلاق، وتعيد استجابات ناجحة”. “يكمن القلق في المجمل: مجموعة من الحسابات تتحرك بشكل متزامن عبر مؤسسات GitHub الخاصة بالشركات مع إصدار أدوات مخصصة تتكرر على مدار أسابيع، وفي أسوأ الحالات، الجهات الفاعلة التي توقفت عن التعداد وبدأت في الاستنساخ.”
