Datadog zufolge ist ein großer Teil der GitHub-API auch ohne Anmeldung erreichbar. Dazu zählen demnach Abfragen öffentlicher Repositories einer Organisation, das Durchlaufen von Follower- und Following-Listen eines Nutzers, die Auflistung von Gists, markierten Repositories und Organisationsmitgliedschaften sowie GraphQL-Abfragen gegen öffentliche Objekte. Solche Anfragen liefern reguläre HTTP-200-Antworten und erzeugen keine Signale eines fehlgeschlagenen Zugriffs.
Genau diese Eigenschaft nutzen die beobachteten Kampagnen aus. Über normalen API-Verkehr können Betreiber laut Datadog eine Organisation, ihre Mitglieder und die Projekte, auf die diese zugreifen, kartieren. Die meisten Anfragen richteten sich gegen GraphQL, weitere gegen REST-Routen. Die eingesetzten User Agents trugen Namen, die wie Werkzeuge zur Datenexfiltration, Analyse oder Dashboard-Erstellung klingen sollten.
Seit mindestens Oktober 2025 seien mehr als 50 Ghost Accounts für diesen Enumerationsverkehr eingesetzt worden, berichtet Datadog. Die Aktivität trete üblicherweise in Schüben von ein bis drei Wochen auf und betreffe mehrere Organisationen. Für sich genommen verschaffe diese Enumeration nur selten einen nennenswerten Zugriff innerhalb einer Organisation; ihr Zweck sei in erster Linie Aufklärung, so Datadog.
In einer der Kampagnen beobachtete das Unternehmen darüber hinaus den Einsatz unbeabsichtigt offengelegter Token legitimer GitHub-Nutzer. Mit diesen Zugangsdaten seien über einen Zeitraum von mehreren Minuten Pfade zu Commits in privaten Repositories angegriffen worden, und zwar von Dutzenden legitimer Konten aus.
In seltenen Fällen gingen die Angreifer laut Datadog über die Aufklärungsphase hinaus. Dann sei es ihnen gelungen, Daten aus den anvisierten Organisationen zu exfiltrieren. Bereits die kontinuierliche Aktivität und das in manchen Fällen beobachtete Klonen entdeckter Repositories wertet Datadog als besorgniserregend.
Für die Erkennung solcher Vorgänge empfiehlt Datadog, auf Datenabflüsse aus privaten Repositories zu achten und Protokolle auf auffälliges Verhalten von User Agents zu prüfen. Besonders relevant seien Benennung und Versionierung von User Agents bei Aktionen, die private Repositories erreichen. User Agents, Ereignisaktivitäten und Akteursnamen seien wichtige Hinweise auf unautorisierte Vorgänge in einer Umgebung. Datadog rät zudem dazu, Audit-Log-Streaming in GitHub zu aktivieren, normale User-Agent-Muster zu erfassen, proaktiv nach Bedrohungen zu suchen und auf die eigene GitHub-Organisation zugeschnittene Erkennungsregeln zu entwickeln.
