Sari la continut
marți, 14 iulie 2026
TechInfos.ro

Laboratorul stirilor tech

Cyber

Cum folosesc atacatorii conturile GitHub inactive pentru a spiona companii

Campanii de atac folosesc conturi GitHub vechi și tokenuri OAuth compromise pentru a mapa organizații corporative.

TI 12 iulie 2026 4 min read
Pe scurt
  • Campanii de atac folosesc conturi GitHub vechi și tokenuri OAuth compromise pentru a mapa organizații corporative.
Continua analiza

O nouă cercetare de la Datadog Security Labs dezvăluie o metodă tot mai folosită de atacatori: conturile GitHub inactive, cunoscute ca „ghost accounts”, sunt folosite pentru a cartografia organizațiile și depozitele de cod corporative, fără a atrage suspiciuni. Aceste campanii automate exploatează API-ul GitHub pentru a enumera utilizatori, organizații și repository-uri, folosind agenți de utilizare personalizați sau legitimi.

Cum acționează atacatorii?

Operatorii acestor campanii creează sau preiau conturi GitHub vechi, care au fost inactive ani de zile, pentru a nu fi detectați cu ușurință. Aceste conturi sunt folosite împreună cu tokenuri OAuth compromise sau instrumente de scraping care imită comportamentul uman. Prin interogarea API-ului GitHub, atacatorii pot identifica cu precizie structura organizațională a unei companii, inclusiv membrii echipei, permisiunile și depozitele interne.

„Am observat mai multe campanii suprapuse care enumeră sistematic organizații GitHub corporative”, avertizează cercetătorii. „Atacatorii se bazează pe instrumente automate de scraping, cu agenți de utilizare care sună legitimi, și pe conturi ‘fantome’ care există de ani de zile.”

Cum se pot apăra organizațiile?

Pentru a reduce riscul, echipele de securitate ar trebui să monitorizeze activitatea API-ului GitHub pentru accesări neobișnuite, în special de la conturi cu vechime mare dar inactive recent. De asemenea, este recomandat să se revizuiască periodic permisiunile tokenurilor OAuth și să se dezactiveze conturile care nu mai sunt necesare. Implementarea unor limite de rată pentru API și blocarea agenților de utilizare suspecti pot reduce șansele de enumerare.

Un alt pas util este activarea jurnalelor de audit și analiza alertelor pentru accesări masive de date. Companiile pot folosi soluții de securitate specializate pentru a detecta mișcări laterale și exfiltrare de informații prin intermediul API-ului.

Ce înseamnă pentru tine

  • Dacă ești dezvoltator, verifică permisiunile tokenurilor OAuth pe care le folosești în proiecte personale sau profesionale. Revocă-le pe cele nefolosite.
  • Dacă adminstrezi o organizație GitHub, activează alertele pentru accesări suspecte și impune autentificarea cu doi factori pentru toți membrii.
  • Analizează periodic lista de conturi și aplicații terțe conectate la organizația ta pentru a elimina riscurile de securitate.

Surse

Ai ajuns la final
Tech Brief

Cele mai importante stiri tech, intr-un format scurt.

Primeste sinteza zilnica AI, cyber si gadgeturi direct in inbox.