GitHub Public APIs กลายเป็นเครื่องมือสำรวจข้อมูลขององค์กร

ที่มาภาพ: InfoWorld

Security-อ่าน 6 นาทีInfoWorld

GitHub Public APIs กลายเป็นเครื่องมือสำรวจข้อมูลขององค์กร

⚡ สรุป 30 วิ

นักวิจัย Datadog พบว่าผู้โจมตีใช้ GitHub Public APIs สแกนและแมปโครงสร้างองค์กรได้โดยไม่ต้องยืนยันตัวตน การดึงข้อมูลเช่น repository สาธารณะ สมาชิก…

Lead: นักวิจัยด้านความปลอดภัยของ Datadog พบว่าการใช้ GitHub Public APIs** กลายเป็นเครื่องมือสำรวจข้อมูลระดับองค์กรอย่างต่อเนื่องในช่วงหลายเดือนที่ผ่านมา การกระทำนี้ไม่เพียงแต่แผะหน้าที่ของผู้ใช้งานทั่วไป แต่ยังเปิดช่องให้ผู้ไม่ประสงค์ดีสแกนและแมปโครงสร้างของบริษัทต่าง ๆ ได้โดยง่าย ซึ่งอาจนำไปสู่การขโมยซอร์สโค้ดหรือข้อมูลลับในระดับสูง

Overview

GitHub ยังคงเป็นเป้าหมายสำคัญสำหรับกลุ่มโจมตี เนื่องจากมันอยู่ตรงกลางของห่วงโซ่อุปทานซอฟต์แวร์และให้ source code, secrets และ automated pipelines แก่ผู้โจมตีได้ง่าย นักวิจัยจาก Datadog ได้บันทึกลักษณะการใช้งาน API ที่เรียกว่า “pattern” ของการละเมิดที่ดำเนินไปหลายสัปดาห์ต่อเนื่อง แม้ว่าการร้องขอแต่ละครั้งจะดูเหมือนธรรมดาและไม่มีความผิดปกติในตัวเอง

การสำรวจผ่าน API เหล่านี้สามารถทำได้โดยไม่ต้องยืนยันตัวตน เนื่องจากส่วนใหญ่ของ API surface ของ GitHub ถูกออกแบบให้เป็นสาธารณะ การตอบสนองส่วนใหญ่คือ HTTP 200 ทำให้ผู้โจมตีสร้างแผนที่รายละเอียดขององค์กร เช่น รายการรีโพซิทอรีสาธารณะ สมาชิก, ผู้ติดตาม, รีโปที่ถูกดาวน์โหลด หรือโครงการที่มีปฏิสัมพันธ์

Threat Actors' Tactics

นักวิจัยระบุว่าผู้ไม่ประสงค์ดีใช้ ghost accounts ที่สร้างขึ้นตั้งแต่ 2‑5 ปีที่ผ่านมาเพื่อทำการสแกนอย่างเป็นระบบ บัญชีเหล่านี้ดูเหมือนบัญชีผู้ใช้งานจริงและมักจะถูกใช้ในช่วง “burst” ของ 1‑3 สัปดาห์ต่อหลายองค์กรพร้อมกัน หลังจากนั้นก็หยุดกิจกรรมทันที

  • ใช้ user agents ปลอมที่อ้างว่าเป็นเครื่องมือวิเคราะห์ข้อมูล เช่น `GitHub-Company-Scraper`, `GitHubAnalytics/1.5`
  • ทำการเรียกใช้ GraphQL endpoint เพื่อดึงข้อมูลแบบ bulk เนื่องจากเหมาะกับการสืบค้นหลายระดับพร้อมกัน
  • บางครั้งโจมตีอาจใช้ OAuth tokens หรือ **Personal Access Tokens (PATs) ของผู้ใช้งานที่เผยแพร่โดยไม่ได้ตั้งใจ

กลุ่มอาชญากรรมไซเบอร์ยังผสมผสานการใช้เครื่องมือสแกนอัตโนมัติ, การละเมิดข้อมูลรั่วไหล, และเครือข่ายของบัญชี “burner” ที่ทำงานร่วมกัน ทำให้ยากต่อการระบุแหล่งที่มาที่ชัดเจน

Impact on Enterprises

การแมปองค์กรและสมาชิกผ่าน API สาธารณะอาจไม่ให้เข้าถึงข้อมูลส่วนตัวโดยตรง แต่เมื่อผู้โจมตีรวบรวมข้อมูลเหล่านี้ได้ครบถ้วนแล้ว พวกเขาสามารถใช้เพื่อวางแผนโจมตีขั้นต่อไป เช่น การขโมย API keys, ค้นหาความเปราะบางของซอฟต์แวร์ที่เป็นกรรมสิทธิ์, หรือทำการคล cloning ของรีโพสิตอรีส่วนตัวโดยไม่ได้รับอนุญาต

ผลกระทบเชิงธุรกิจประกอบด้วย

  • ความเสี่ยงต่อการสูญเสียทรัพย์สินทางปัญญา (IP) ที่อาจนำไปสู่ค่าใช้จ่ายในการฟื้นฟูและคดีความ
  • การเปิดเผย default credentials ของซอฟต์แวร์ที่ติดตั้งโดยอัตโนมัติ ทำให้ผู้โจมตีสามารถทดสอบการเข้าถึงระบบจริงได้

ด้วยเหตุนี้ ผู้จัดการด้านความปลอดภัยจึงต้องพิจารณา GitHub ไม่เพียงเป็นเครื่องมือสำหรับพัฒนาโค้ดเท่านั้น แต่ยังเป็นแหล่งข้อมูลที่อาจถูกใช้เพื่อสำรวจและวางแผนการโจมตีในระดับองค์กร

Detection & Mitigation Strategies

Julie Agnes Sparks จาก Datadog แนะนำว่าการตรวจจับพฤติกรรมผิดปกติสามารถทำได้โดยเฝ้าติดตามฟิลด์สำคัญต่อไปนี้:

  • User agent ที่ไม่เคยปรากฏในบันทึกปกติ
  • ประเภทของ token (เช่น OAuth, PAT) และ ASN ของผู้ส่งคำขอ
  • ความถี่และรูปแบบการเรียกใช้ GraphQL หรือ REST endpoints

องค์กรควรเปิดใช้งาน GitHub audit log streaming, ทำการตั้งค่า baseline สำหรับ user agents ที่คุ้นเคย, และดำเนินการ threat hunting อย่างต่อเนื่อง เพื่อตรวจจับกิจกรรมที่ไม่สอดคล้องกับพฤติกรรมปกติของผู้ใช้

นอกจากนี้ การตรวจสอบและรีเฟรช credentials ที่อาจหลุดรั่วบน GitHub รวมถึงจำกัดการเข้าถึงรีโพสิตอรีส่วนตัวโดยใช้นโยบาย “least privilege” จะช่วยลดโอกาสที่ข้อมูลลับจะถูกดึงออกมาได้

Industry Perspective

ผู้เชี่ยวชาญจาก Beauceron Security และ DataBee เห็นพัฒนาการนี้เป็นผลมาจากความต้องการขององค์กรที่จะเร่งรัดกระบวนการพัฒนาโดยใช้ AI agents ซึ่งทำให้จำนวนข้อมูลลับบนแพลตฟอร์มเพิ่มขึ้นอย่างต่อเนื่อง ความนิยมของ GitHub เป็นที่ยอมรับทั่วโลกทำให้มันกลายเป็น “gold mine” สำหรับผู้โจมตี

David Shipley ของ Beauceron Security กล่าวว่าการที่ “มีทองอยู่ในภูเขานั้น” แสดงถึงความสำคัญของการปกป้อง secrets และการกำหนดนโยบายตรวจสอบอย่างเข้มงวดเพื่อไม่ให้ข้อมูลลับกลายเป็นเป้าหมายที่ง่ายต่อการขโมย

Summary

การใช้ GitHub Public APIs เพื่อทำ reconnaissance ขององค์กรกำลังเพิ่มขึ้นอย่างชัดเจน ผู้โจมตีผสมผสานเทคนิคอัตโนมัติและบัญชี “ghost” ทำให้การตรวจจับต้องอาศัยการวิเคราะห์เชิงลึกของบันทึกกิจกรรม GitHub บริษัทควรเสริมสร้างมาตรการเฝ้าระวังและจัดตั้งแนวทางปฏิบัติด้านความปลอดภัยที่เหมาะสมเพื่อคุ้มครองซอร์สโค้ดและข้อมูลลับจากการละเมิดในอนาคต.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
GitHub’s public APIs are becoming an enterprise reconnaissance tool
ผู้เขียน
Unknown
แหล่ง
InfoWorld
วันที่เผยแพร่
9 กรกฎาคม 2569 เวลา 06:03

Related

บทความที่เกี่ยวข้อง

GitHub ปรับ actions/checkout เวอร์ชัน 7 เพื่อบล็อกการโจมตีแบบ pwn requestSecurity
25 มิถุนายน 2569 เวลา 06:30

GitHub ปรับ actions/checkout เวอร์ชัน 7 เพื่อบล็อกการโจมตีแบบ pwn request

GitHub ปรับปรุง actions/checkout เวอร์ชัน 7 ให้บล็อก workflow ที่ดึงโค้ดจากฟอร์กที่ยังไม่ได้ตรวจสอบเมื่อใช้ pull_request_target หรือ workflow_run…

InfoWorld8 นาที
Microsoft คืนค่าและลบ Repository บน GitHub หลังเหตุการณ์แ…Security
11 มิถุนายน 2569 เวลา 23:30

Microsoft คืนค่าและลบ Repository บน GitHub หลังเหตุการณ์แ…

Microsoft ลบ Repository ที่ถูกแฮ็กบน GitHub ชั่วคราวและคืนค่า Repository ที่ปลอดภัย…

The Hacker News6 นาที
EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาตSecurity
8 กรกฎาคม 2569 เวลา 05:30

EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาต

บริษัทตรวจสอบระดับโลก EY ออสเตรเลียได้ไล่พนักงานสองคนหลังพบว่าพวกเขาเข้าถึงข้อมูลบัญชีธนาคารของนายกรัฐมนตรี Anthony Albanese โดยไม่ได้รับอนุญาต…

The Register7 นาที
เปลี่ยนจาก Pi‑hole ไปใช้ AdGuard Home พร้อม Unbound บน OPNsense ทำให้เครือข่ายสะอาดขึ้น.Security
6 กรกฎาคม 2569 เวลา 17:30

เปลี่ยนจาก Pi‑hole ไปใช้ AdGuard Home พร้อม Unbound บน OPNsense ทำให้เครือข่ายสะอาดขึ้น.

ผู้เขียนย้ายจาก Pi‑hole ไปใช้ AdGuard Home ร่วมกับ Unbound บนเราเตอร์ OPNsense เพื่อรวมฟีเจอร์กรองโฆษณาและไฟร์วอลล์ในเครื่องเดียว…

XDA Developers7 นาที
คัดลอกลิงก์แล้ว!