Dormant GitHub Accounts Help Attackers Blend In While Mapping Corporate Orgs

1 minute de lecture

Mis à jour :

Menace de reconnaissance via des comptes « fantômes » sur GitHub

Des campagnes coordonnées utilisent des comptes GitHub inactifs depuis plusieurs années (« comptes fantômes ») ainsi que des jetons d’accès personnels (PAT) compromis pour cartographier systématiquement les organisations et dépôts d’entreprises. Cette tactique vise à dissimuler des activités de collecte de données malveillantes sous couvert de trafic API légitime.

Points clés :

  • Infiltration stratégique : L’utilisation de vieux comptes permet d’éviter les détections automatisées, ces profils bénéficiant d’un historique jugé « de confiance ».
  • Collecte de renseignements : Les attaquants exploitent les points de terminaison publics de l’API GitHub pour lister des membres, des abonnements, des dépôts et des appartenances à des organisations.
  • Escalade des privilèges : Bien que la majorité des activités se limitent à la reconnaissance, des cas avérés de clonage de dépôts privés ont été identifiés suite à l’usage de jetons (PAT) compromis.
  • Vulnérabilités : Il ne s’agit pas d’une vulnérabilité logicielle (CVE) spécifique, mais d’une exploitation de la surface d’exposition de l’API GitHub et d’une mauvaise gestion des secrets (fuite ou vol de PAT).

Recommandations :

  • Audit des jetons : Révoquer systématiquement les jetons d’accès personnels (PAT) inutilisés ou dont l’exposition est suspectée.
  • Surveillance API : Mettre en place des mécanismes de monitoring sur les journaux d’audit GitHub pour détecter des patterns de requêtes inhabituels ou groupés.
  • Principe du moindre privilège : Restreindre les accès accordés aux applications tierces (OAuth) et aux collaborateurs via des politiques de contrôle d’accès rigoureuses.
  • Hygiène numérique : Désactiver ou supprimer les comptes de service et profils utilisateurs GitHub qui ne sont plus nécessaires pour limiter la surface d’attaque.

Source