Cảnh báo: Hacker lợi dụng tài khoản GitHub ‘ma’ để do thám doanh nghiệp
Các chiến dịch tấn công mới đang sử dụng hàng loạt tài khoản GitHub cũ, không hoạt động để thu thập dữ liệu tổ chức và thậm chí là clone các kho lưu trữ (repository) riêng...
Datadog Security Labs vừa đưa ra cảnh báo về một loạt chiến dịch tấn công có hệ thống, nhắm vào việc thu thập thông tin các tổ chức, kho lưu trữ (repository) và tài khoản người dùng trên GitHub thông qua API.
Theo các chuyên gia, kẻ tấn công sử dụng các công cụ quét tự động với user-agent tùy chỉnh hoặc giả mạo. Đáng chú ý, chúng tận dụng các tài khoản GitHub “ma” (ghost accounts) đã tồn tại nhiều năm nhưng không hoạt động, hoặc sử dụng các OAuth token và Personal Access Token (PAT) bị đánh cắp từ người dùng hợp lệ.
Chiến lược sử dụng tài khoản “ma” được tạo từ 2-5 năm trước giúp kẻ tấn công vượt qua các cơ chế kiểm soát, khiến hoạt động quét API trông giống như lưu lượng truy cập thông thường thay vì các hành vi đáng ngờ. Việc sử dụng các tài khoản cũ giúp chúng hòa nhập vào hệ sinh thái GitHub một cách tự nhiên mà không gây ra cảnh báo bảo mật.
Các kẻ tấn công thực hiện truy vấn API để thu thập dữ liệu công khai như:
- Liệt kê các repository công khai của tổ chức.
- Theo dõi danh sách người theo dõi và các tài khoản mà mục tiêu theo dõi.
- Truy vấn các gists, repository được gắn sao (starred) và thông tin thành viên tổ chức.
- Thực hiện các truy vấn GraphQL đối với các đối tượng công khai.
Mặc dù phần lớn hoạt động này tập trung vào dữ liệu công khai, nhưng các nhà nghiên cứu đã ghi nhận những trường hợp kẻ tấn công tiến xa hơn bằng cách clone các repository riêng tư (private repository) của doanh nghiệp. Điều này cho thấy sự nguy hiểm của việc rò rỉ token hoặc quản lý quyền truy cập lỏng lẻo.
Datadog nhấn mạnh rằng, mặc dù từng yêu cầu API đơn lẻ có vẻ vô hại, nhưng khi tổng hợp lại, đây là một chiến dịch phối hợp bài bản. Việc các tài khoản hoạt động đồng bộ trong nhiều tuần để thu thập thông tin là dấu hiệu rõ ràng của một cuộc tấn công có chủ đích, nhằm mục đích do thám và chuẩn bị cho các bước xâm nhập sâu hơn vào cơ sở hạ tầng của doanh nghiệp.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.