⚡ Não perca: notícia importante no ar! ⚡

Leia, comente e fique sempre atualizado!

Apoie esse projeto de divulgacao de noticias! Clique aqui
O Datadog Security Labs alerta sobre "várias campanhas sobrepostas" que enumeram sistematicamente organizações corporativas, repositórios e contas de usuários do GitHub por meio da API do GitHub.

“As operadoras contam com ferramentas de raspagem automatizadas com agentes de usuários personalizados ou legítimos, aproveitando contas ‘fantasmas’ do GitHub que muitas vezes têm anos ou tokens OAuth comprometidos e tokens de acesso pessoal (PATs) de usuários legítimos”, disse Julie Agnes Sparks, engenheira sênior de segurança da Datadog.

Embora a atividade na maioria dos casos envolva o direcionamento de dados públicos, instâncias selecionadas foram além da enumeração de informações públicas para clonar com sucesso repositórios privados.

A campanha emprega uma combinação de ferramentas de digitalização automatizadas, mais de 50 contas inativas e dezenas de contas legítimas que tiveram os seus tokens de acesso pessoal (PATs) expostos involuntariamente ou comprometidos através de algum outro método para facilitar a enumeração.

O que é notável sobre as contas “fantasmas” é que elas foram criadas há dois a cinco anos e deixadas inativas intencionalmente por longos períodos de tempo antes de serem transformadas em armas para emitir tráfego de API em várias organizações. Esta técnica é estratégica porque visa evitar qualquer sinal de alerta e fazer com que a atividade seja legítima, em vez de criar novas contas e utilizá-las imediatamente para scraping.

Como uma grande parte da superfície da API do GitHub pode ser acessada sem autenticação, as consultas de enumeração retornam os dados necessários, ao mesmo tempo que se misturam ao uso normal da API. Alguns deles incluem -

Listando os repositórios públicos de uma organização

Acompanhando os seguidores de um usuário e seguindo listas

Enumerar pontos principais, repositórios marcados com estrela e associações de organizações, e

Executando consultas GraphQL em objetos públicos

Essas informações podem ser usadas por um ator de ameaça para realizar reconhecimento e mapear programaticamente as atividades relacionadas ao GitHub de uma organização, como seus repositórios públicos, seus membros, quem esses membros seguem e quais projetos eles modificam.

O acesso aos dados foi confirmado em alguns cenários, com os invasores tomando medidas para clonar um repositório privado pertencente a uma única organização.

“Individualmente, a maioria dessas solicitações não tem nada de notável. Elas atingem endpoints públicos, são autenticadas de forma limpa ou não são autenticadas e retornam respostas bem-sucedidas”, disse Datadog. “A preocupação está no agregado: um grupo de contas movendo-se em sincronia entre as organizações GitHub das empresas com ferramentas personalizadas versionadas iterando ao longo de semanas e, na pior das hipóteses, atores que pararam de enumerar e começaram a clonar.”

Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #contas #inativas #do #github #ajudam #os #invasores #a #se #misturar #ao #mapear #organizações #corporativas
🔔 Siga-nos para não perder nenhuma atualização!

Post a Comment