Auf den Punkt: Angreifer nutzen jahrelang inaktive GitHub-Konten und kompromittierte Token, um Unternehmensorganisationen zu kartieren, ohne erkannt zu werden.
Datadog Security Labs warnt vor mehreren koordinierten Kampagnen, die systematisch GitHub-Organisationen, Repositories und Nutzerkonten von Unternehmen über die GitHub API enumerieren. Angreifer verwenden dazu jahrelang inaktive Ghost-Accounts oder kompromittierte OAuth-Tokens.
Sicherheitsforschende von Datadog Security Labs haben mehrere überlappende Kampagnen dokumentiert, die automatisiert Daten aus GitHub extrahieren. Die Angreifer setzen dabei auf Scraaping-Tools mit benutzerdefinierten oder legitim wirkenden User-Agents ein und greifen auf sogenannte „Ghost“-Accounts zurück — alte, lange inaktive GitHub-Konten, die nicht sofort als verdächtig auffallen.
Diese Taktik ermöglicht es den Angreifern, ihre Aktivitäten in der API-Nutzung zu verschleiern und nicht als Bedrohung erkannt zu werden. Durch die Enumeration von Organisationsstrukturen, öffentlichen und privaten Repositories sowie Nutzerkonten erhalten sie einen detaillierten Überblick über die technische Infrastruktur und das Personal von Zielunternehmen — eine klassische Aufklärungsphase vor gezielten Angriffen.
Für Security-Verantwortliche bedeutet dies, dass GitHub-Zugriffe stärker überwacht werden müssen. Empfohlen wird die Prüfung von OAuth-Token-Registrierungen, die Deaktivierung ungenutzter Personal-Access-Tokens und die Überwachung ungewöhnlicher API-Zugriffsmuster — insbesondere solche, die von alten oder inaktiven Accounts ausgehen.
Quelle: thehackernews.com · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.