Auf den Punkt: Systematische API-Abfragen auf GitHub dienen zunehmend der Unternehmensaufklärung vor Angriffen, indem Attacken öffentliche APIs missbrauchen und alte Ghost-Accounts einsetzen, um normale Nutzungsmuster zu imitieren.
Datadog Security Research dokumentiert ein systematisches Muster von GitHub-API-Missbräuchen, das Organisationen und ihre Mitglieder kartografiert. Die Attacken nutzen öffentlich erreichbare API-Oberflächen und Authentifizierungslücken, um in Entwicklungsmilieus einzudringen.
GitHub bleibt wegen seiner zentralen Position in der Software-Lieferkette ein bevorzugtes Angriffsziel. Bedrohungsakteure erhalten Zugang zu drei Ressourcen: Quellcode, Geheimnisse (Credentials) und Pipelines zur Automatisierung von Exploits. Datadog Security Research hat in den vergangenen Monaten einen „anhaltenden Missbrauchsmuster“ dokumentiert, der sich über Wochen hinweg erstreckt und von einfacher Datenabfrage bis zur vollständigen Klone von Repositories eskaliert. Das Kernproblem: Diese Aktivitäten verschwinden in normalen API-Nutzungsmustern.
Die Angriffe erfolgen nicht durch einzelne Akteure, sondern durch ein Gemisch aus automatisierten Scanner-Tools mit benutzerdefinierten Agenten, Missbrauch geleakter Credentials und koordinierten Netzwerken von „Burner“-Accounts (sogenannte Ghost-Accounts). Threat Actors nutzen typischerweise Konten, die zwei bis fünf Jahre alt und seitdem inaktiv sind; eine Multi-Jahres-Historie wirkt legitimer als Registrierungen der aktuellen Woche. Zudem werden Aktivitäten auf Bursts von einer bis drei Wochen beschränkt, um Aufmerksamkeit zu vermeiden. Datadog identifizierte über 50 solcher Ghost-Accounts mit Bezeichnungen wie „user432023″, „user412023″ oder „kobalt*“.
Ein großer Teil der GitHub-API-Oberfläche ist bewusst ohne Authentifizierung erreichbar (public by design). Dies ermöglicht Bedrohungsakteuren, detaillierte Karten von Organisationen, öffentlichen Repositories, Mitgliedern, Interaktionen und Abhängigkeiten zu erstellen. GitHub dokumentiert Geolocation-Daten nur bei Interaktionen mit privaten Repositories, nicht bei externen Anfragen; dies behindert Attribution über VPN/Proxy-Tracking erheblich.
Die Angreifer konzentrieren sich auf zwei primäre Ziele: IP-Theft durch unerlaubtes Klonen proprietärer Repositories, um Zugriff auf Quellcode und versteckte Schwachstellen zu gewinnen; sowie das Aufspüren von Default-Credentials in öffentlichen Repositories, um Testumgebungen und Produktionssysteme zu kompromittieren. Ein Teil der Kampagnen nutzt auch legitime GitHub-Konten mit geleakten OAuth-Tokens oder Personal Access Tokens (PATs), deren Konten oder API-Endpunkte an anderer Stelle exponiert wurden.
Quelle: www.csoonline.com · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.