Siber güvenlik şirketi Datadog'un yayımladığı rapora göre, tehdit aktörleri GitHub API'sini sistematik bir şekilde kötüye kullanarak kuruluşları, depoları ve kullanıcı hesaplarını hedef alan büyük çaplı bir keşif kampanyası yürütüyor. Bu faaliyet, birbirini tekrarlayan ve örtüşen kampanyalar halinde aylardır devam ediyor. Saldırganlar, iki ila beş yıl önce oluşturulmuş ancak o zamandan beri kullanılmayan 'hayalet hesaplar' kullanarak izlerini gizliyor.
Datadog, bu kampanyanın otomatik tarayıcılar, sızdırılmış kimlik bilgilerinin kötüye kullanımı ve koordineli hayalet hesap ağlarından oluştuğunu belirtiyor. Gözlemlenen GitHub API istekleri genellikle herkese açık verilere yönelik olsa da, normal trafikle karışarak dikkat çekmiyor. Ancak, bazı durumlarda saldırganların keşfedilen depoları klonlamaya kadar ilerlemesi endişe verici boyutlara ulaşıyor.
GitHub API'sinin büyük bir kısmı kimlik doğrulama olmadan erişilebilir durumda. Bir kuruluşun herkese açık depolarını listelemek, bir kullanıcının takipçi ve takip edilen listelerini incelemek, gist'leri, yıldızlı depoları ve organizasyon üyeliklerini saymak, hatta GraphQL sorguları çalıştırmak gibi işlemler veri döndürüyor. Bu istekler HTTP 200 yanıtı alıyor ve herhangi bir kimlik doğrulama hatası sinyali üretmiyor. Bu sayede saldırganlar normal API trafiği içinde bir kuruluşu, üyelerini ve eriştikleri projeleri haritalayabiliyor.
Teknik Analiz
Ekim 2025'ten bu yana en az 50 hayalet hesap, bu keşif faaliyeti kapsamında API trafiği göndermek için kullanıldı. Genellikle 1 ila 3 haftalık aralıklarla, birden fazla organizasyonu hedef alan bu hesaplar, veri sızdırma, analitik veya kontrol paneli araçlarına benzer isimler taşıyan kullanıcı aracıları (user agent) kullanıyor. İsteklerin büyük kısmı GraphQL'e yönelirken, diğerleri REST rotalarını hedef alıyor.
Datadog, bu keşif faaliyetinin tek başına bir kuruluş içinde anlamlı bir erişim sağlamadığını, ancak istihbarat toplama amacı taşıdığını vurguluyor. Bir kampanyada, meşru GitHub kullanıcılarının yanlışlıkla ifşa edilmiş token'larının kullanıldığı ve birkaç dakika içinde düzinelerce meşru hesaptan özel depo commit yollarına erişildiği görüldü. Nadir durumlarda, saldırganlar keşif aşamasının ötesine geçerek hedef kuruluşlardan başarıyla veri sızdırdı.
Sistem Güvenliği
Bu tür kötü amaçlı faaliyetleri tespit etmek için Datadog, savunmacıların özel depolardan veri sızıntısını izlemesini, anormal kullanıcı aracısı davranışlarını ve özel depolara erişen eylemlerdeki kullanıcı aracısı adlandırma ve sürümleme farklılıklarını kontrol etmesini öneriyor. Kullanıcı aracıları, etkinlik günlükleri ve aktör isimleri, ortamınızdaki yetkisiz faaliyetler için hayati ipuçları sunar. Normal durumun ne olduğunu bilmek önemlidir. GitHub denetim günlüğü akışını etkinleştirmek, kullanıcı aracılarını temel almak, proaktif tehdit avcılığı yapmak ve kuruluşunuza özgü tespit mekanizmaları geliştirmek önerilen adımlar arasında.
Kaynak: securityweek.com