Datadog Security Labs, kurumsal GitHub organizasyonlarını sistematik olarak keşfeden yeni bir kampanya sürüsünü ortaya çıkardı. Saldırganların yöntemi ilginç: yıllardır sessiz kalmış, atıl “ghost” GitHub hesaplarını uyandırıp normal API kullanımına karışmak. Yani gürültünün içine kaybolarak kurumsal keşif yapıyorlar.
Kampanyanın çerçevesi
Datadog Security Labs’tan Senior Security Engineer Julie Agnes Sparks, birbiriyle örtüşen birkaç kampanyanın GitHub API’sini kullanarak kurumsal organizasyonları, repository’leri ve kullanıcı hesaplarını numaralandırdığını raporladı. Tespit edilen hesapların çoğu 2-5 yıl boyunca dormant kalmış.
Neden dormant hesaplar?
Uzun süre atıl kalan hesaplar tespit sistemlerinde normal aktivite gibi görünüyor. Yeni oluşturulan yığın hesapları GitHub’ın anomaly detection’ı hızlı yakalar, ama beş yıllık bir hesabın birden hafif API çağrıları yapmaya başlaması alarm çalmıyor. Saldırganlar tam olarak bu “temizlik geçmişi” konforundan yararlanıyor.
Kullanılan araç ve credential’lar
- Custom veya meşru görünen user agent’larla otomatik scraping tool’ları
- 50’den fazla dormant hesap
- Sızdırılmış personal access token’lara sahip düzinelerce meşru hesap
- Kazayla ifşa edilmiş veya kompromize edilmiş OAuth token’lar
Hedeflenen API endpoint’leri
Saldırganlar özellikle kimlik doğrulaması gerektirmeyen public endpoint’lere odaklanıyor:
- Organizasyon public repository listeleme
- Kullanıcı follower/following listelerini gezme
- Gist’leri, starred repo’ları, org üyeliklerini numaralandırma
- Public object’lere GraphQL sorguları çalıştırma
Kritik cümle: “GitHub API yüzeyinin büyük kısmı kimlik doğrulaması olmadan erişilebilir.” Bu tasarım gereği bir özellik, ama saldırgan için de bir hediyeye dönüşüyor.
Ne yapıyorlar?
- Organizasyon GitHub aktivitesinin recon ve haritalanması
- Public veri numaralandırması (birincil aktivite)
- “Seçili örneklerde” özel repository’lerin klonlanması
En kötü senaryolarda Datadog, saldırganların “numaralandırmayı bırakıp private repository’leri klonlamaya geçtiğini” doğruladı. Bu supply chain güvenliği açısından önemli bir eşik. Private repository erişimi, zafiyetleri, IP’yi ve deployment yapılandırmalarını doğrudan tehdit ediyor.
Asıl endişe: koordinasyon
Sparks’ın altını çizdiği kritik nokta şu: “Endişe kümede. Şirketlerin GitHub organizasyonları üzerinde sync şekilde hareket eden, haftalarca üzerinde iterasyon yapılmış versiyonlanmış custom tooling kullanan bir hesap grubu.”
Yani tek başına bakıldığında masum görünen aktiviteler, birleştirildiğinde koordineli bir keşif operasyonu resmi ortaya çıkarıyor.
Ne yapmalı?
- Birden fazla hesap arasında senkronize API aktivite pattern’lerini izleyin
- Personal Access Token yönetimini sıkılaştırın; ömür kısaltın, kapsamı daraltın, düzenli rotate edin
- OAuth token’ların loglarını takip edin; beklenmedik konumlardan gelen kullanımı flag’leyin
- GitHub org ayarlarında dış erişim kısıtlamalarını gözden geçirin
- Private repo klonlamanın izleri (unusual clone velocity, unknown IP) için alerting kurun
- Secret scanning ve push protection’ı zorunlu tutun; sızmış credential’lar bu tür kampanyaların temel yakıtı
GitHub API’sinin büyük bölümünün kimlik doğrulaması olmadan erişilebilir olması, ekosistemin açıklığının bir yansıması. Ama saldırganlar bunu keşif için sistematik olarak kullandıkça, kurumların da kendi organizasyon aktivitelerini bir SIEM veya kendi loglama katmanı üzerinden izlemesi gerekiyor. Özellikle beş yıl önce oluşturulmuş bir hesabın birden repo listelerinize göz atmaya başlaması, tek başına anomali gibi görünmese de birleşimde ciddi bir sinyal. Dormant hesapların “ısınma dönemi” taktiği ilk kez görülmüyor, ama GitHub gibi geniş meşru trafik hacmi olan bir platformda tespit maliyetini oldukça yükseltiyor.
Kaynak: https://thehackernews.com/2026/07/dormant-github-accounts-help-attackers.html
