Lühidalt: Süstemaatilised API-päringud GitHubis teenivad üha enam ettevõtete luuret enne rünnakuid, kuna ründajad kuritarvitavad avalikke API-sid ja kasutavad vanu varjukontosid, et jäljendada tavapäraseid kasutusmustreid.
Datadog Security Research on dokumenteerinud süstemaatilise GitHubi API kuritarvitamise mustri, mis kaardistab organisatsioone ja nende liikmeid. Rünnakud kasutavad ära avalikult ligipääsetavaid API liideseid ja autentimislünki, et tungida arendajate keskkondadesse.
GitHub jääb tarkvara tarneahelas oma kesksele positsioonile tuginedes eelistatud ründesihtmärgiks. Ohutegurid saavad juurdepääsu kolmele ressursile: lähtekoodile, saladustele (mandaatidele) ja torujuhtmetele, mida saab kasutada rünnete automatiseerimiseks. Datadog Security Research on viimastel kuudel dokumenteerinud „püsivat kuritarvitamise mustrit”, mis venib nädalate peale ja eskaleerub lihtsast andmepäringust hoidlate täieliku kloonimiseni. Põhiprobleem seisneb selles, et need tegevused sulanduvad tavapärastesse API kasutusmustritesse.
Rünnakuid ei vii läbi üksikud osalejad, vaid nende taga on segu automatiseeritud skanneritest koos kohandatud agentidega, lekkinud mandaatide kuritarvitamisest ning koordineeritud „ühekordsete” kontode ehk niinimetatud varjukontode võrgustikest. Ohuosalised kasutavad tüüpiliselt kontosid, mis on kaks kuni viis aastat vanad ja sellest ajast saati tegevusetud — mitmeaastane ajalugu näib usutavam kui käesoleva nädala registreeringud. Lisaks piiratakse tegevust ühe- kuni kolmenädalaste puhangutega, et vältida tähelepanu äratamist. Datadog tuvastas üle 50 sellise varjukonto, mille nimed olid näiteks „user432023″, „user412023″ või „kobalt*”.
Suur osa GitHubi API pinnast on teadlikult tehtud autentimiseta ligipääsetavaks (avalik disaini poolest). See võimaldab ohuosalistel koostada üksikasjalikke kaarte organisatsioonidest, avalikest hoidlatest, liikmetest, suhtlustest ja sõltuvustest. GitHub salvestab geolokatsiooniandmeid ainult era-hoidlatega suhtlemisel, mitte väliste päringute puhul — see raskendab oluliselt atributsiooni VPN-i või proksi jälgimise kaudu.
Ründajad keskenduvad kahele peamisele eesmärgile: intellektuaalomandi vargus omavoliliselt patenteeritud hoidlate kloonimise teel, et saada juurdepääs lähtekoodile ja varjatud haavatavustele, ning vaikimisi mandaatide otsimine avalikest hoidlatest, et kompromiteerida testkeskkondi ja tootmissüsteeme. Osa kampaaniaid kasutab ka legitiimseid GitHubi kontosid koos lekkinud OAuth-tokenite või isiklike juurdepääsutokenitega (PAT), mille kontod või API lõpp-punktid on mujal avalikuks saanud.
Allikas: www.csoonline.com · Avaldatud 9. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 abil.