Segurança cibernética

Contas inativas do GitHub ajudam invasores a se misturar enquanto mapeiam organizações corporativas

Datadog Security Labs alerta para 'várias campanhas sobrepostas' que enumeram sistematicamente organizações, repositórios e contas de usuários corporativos no GitHub por meio da API da plataforma.


Ravie Lakshmanan Sábado - 11 de Julho de 2026 às 00:41
The Hacker News

A Datadog Security Labs está alertando para "várias campanhas sobrepostas" que enumeram sistematicamente organizações, repositórios e contas de usuários corporativos no GitHub por meio da API (Interface de Programação de Aplicações) da plataforma.

"Os operadores usam ferramentas automatizadas de coleta de dados com agentes de usuário personalizados ou com nomes que parecem legítimos, aproveitando contas 'fantasma' do GitHub, muitas vezes com anos de existência, ou tokens OAuth (protocolo de autorização aberto) e tokens de acesso pessoal (PATs, na sigla em inglês) comprometidos de usuários legítimos", afirmou Julie Agnes Sparks, engenheira sênior de segurança da Datadog.

Embora a atividade, na maioria dos casos, envolva o direcionamento a dados públicos, algumas ocorrências ultrapassaram a enumeração de informações públicas e conseguiram clonar repositórios privados.

A campanha emprega uma combinação de ferramentas automatizadas de varredura, mais de 50 contas inativas e dezenas de contas legítimas cujos tokens de acesso pessoal foram expostos sem intenção ou comprometidos por algum outro método, facilitando a enumeração.

O que chama a atenção nas contas "fantasma" é que elas foram criadas de dois a cinco anos atrás e deixadas intencionalmente inativas por longos períodos antes de serem usadas para emitir tráfego de API em diversas organizações. A técnica é estratégica: visa evitar levantar suspeitas e fazer com que a atividade pareça legítima, em vez de criar contas novas e utilizá-las imediatamente para a coleta de dados.

Como grande parte da superfície da API do GitHub pode ser acessada sem autenticação, as consultas de enumeração retornam os dados necessários, ao mesmo tempo em que se misturam ao uso normal da API. Algumas das ações incluem:

  • Listar os repositórios públicos de uma organização;
  • percorrer as listas de seguidores e de quem é seguido por um usuário;
  • enumerar gists, repositórios marcados com estrela e participações em organizações;
  • executar consultas em GraphQL (linguagem de consulta para APIs) contra objetos públicos.

Essas informações podem ser usadas por um agente de ameaça para realizar reconhecimento e mapear, de forma programática, a atividade de uma organização no GitHub, como seus repositórios públicos, seus membros, quem esses membros seguem e em quais projetos eles atuam.

O acesso a dados foi confirmado em alguns cenários, com os invasores tomando providências para clonar um repositório privado pertencente a uma única organização.

"Individualmente, a maioria dessas requisições não chama a atenção. Elas acessam endpoints públicos, autenticam de forma limpa ou nem autenticam, e retornam respostas bem-sucedidas", afirmou a Datadog. "A preocupação está no conjunto: um grupo de contas se movendo em sincronia entre as organizações no GitHub de várias empresas, com ferramentas personalizadas e versionadas iterando ao longo de semanas e, no pior dos casos, atores que pararam de enumerar e começaram a clonar."

GitHub Segurança da Informação Cibercrime