Nach Darstellung von Datadog Security Labs handelt es sich nicht um vereinzelte Abrufe, sondern um „mehrere sich überschneidende Kampagnen“, die GitHub-Organisationen von Unternehmen systematisch kartieren. Erfasst werden demnach Organisationen, Repositories und Benutzerkonten über die GitHub-API.

Julie Agnes Sparks, leitende Sicherheitsingenieurin bei Datadog, erklärte, die Betreiber setzten auf automatisierte Scraping-Tools mit angepassten oder seriös wirkenden User-Agents. Zusätzlich würden GitHub-„Geisterkonten“ verwendet, die häufig schon seit Jahren existieren, sowie kompromittierte OAuth-Tokens und Personal Access Tokens legitimer Nutzer.

Laut Datadog umfasst die beobachtete Infrastruktur eine Mischung aus automatisierten Scanner-Werkzeugen, mehr als 50 ruhenden Konten und Dutzenden legitimen Konten, deren Personal Access Tokens versehentlich offengelegt oder auf anderem Weg kompromittiert wurden. Diese Kombination diene dazu, die Aufklärung zu erleichtern.

Besonders auffällig ist die Rolle der „Geisterkonten“. Diese Konten wurden Datadog zufolge vor zwei bis fünf Jahren erstellt und anschließend über lange Zeit absichtlich nicht genutzt. Erst später wurden sie dazu eingesetzt, API-Verkehr über mehrere Organisationen hinweg zu erzeugen. Die Methode ist nach Einschätzung von Datadog strategisch angelegt: Statt neue Konten anzulegen und sofort zum Scraping einzusetzen, soll der Verkehr wie legitime Nutzung erscheinen und weniger Verdacht erregen.

Ein Grund dafür ist auch, dass ein großer Teil der GitHub-API ohne Authentifizierung erreichbar ist. Dadurch liefern Abfragen die benötigten Informationen und fügen sich zugleich in normales API-Verhalten ein. Datadog zufolge können Bedrohungsakteure diese Informationen für Aufklärungszwecke nutzen und die GitHub-bezogenen Aktivitäten einer Organisation programmatisch abbilden — etwa öffentliche Repositories, Mitglieder, die von diesen Mitgliedern verfolgten Accounts und Projekte, an denen sie Änderungen vornehmen.

In den meisten Fällen blieb es laut Datadog bei der Erfassung öffentlicher Daten. Das Unternehmen bestätigt jedoch auch einige Szenarien mit tatsächlichem Datenzugriff. In diesen Fällen unternahmen die Angreifer Schritte, um ein privates Repository zu klonen, das zu einer einzelnen Organisation gehörte.

Gerade diese Übergänge machen die Aktivität aus Sicht von Datadog relevant. „Für sich genommen sind die meisten dieser Anfragen unauffällig“, teilte das Unternehmen mit. Sie träfen öffentliche Endpunkte, authentifizierten sich sauber oder gar nicht und lieferten erfolgreiche Antworten. Problematisch werde das Gesamtbild: eine Gruppe von Konten, die sich synchron durch die GitHub-Organisationen verschiedener Unternehmen bewegt, dabei über Wochen versionierte, angepasste Werkzeuge einsetzt und im ungünstigsten Fall die Erfassung beendet, um mit dem Klonen zu beginnen.