
ที่มาภาพ: InfoWorld
GitHub Public APIs กลายเป็นเครื่องมือสำรวจข้อมูลขององค์กร
⚡ สรุป 30 วิ
นักวิจัย Datadog พบว่าผู้โจมตีใช้ GitHub Public APIs สแกนและแมปโครงสร้างองค์กรได้โดยไม่ต้องยืนยันตัวตน การดึงข้อมูลเช่น repository สาธารณะ สมาชิก…
Lead: นักวิจัยด้านความปลอดภัยของ Datadog พบว่าการใช้ GitHub Public APIs** กลายเป็นเครื่องมือสำรวจข้อมูลระดับองค์กรอย่างต่อเนื่องในช่วงหลายเดือนที่ผ่านมา การกระทำนี้ไม่เพียงแต่แผะหน้าที่ของผู้ใช้งานทั่วไป แต่ยังเปิดช่องให้ผู้ไม่ประสงค์ดีสแกนและแมปโครงสร้างของบริษัทต่าง ๆ ได้โดยง่าย ซึ่งอาจนำไปสู่การขโมยซอร์สโค้ดหรือข้อมูลลับในระดับสูง
Overview
GitHub ยังคงเป็นเป้าหมายสำคัญสำหรับกลุ่มโจมตี เนื่องจากมันอยู่ตรงกลางของห่วงโซ่อุปทานซอฟต์แวร์และให้ source code, secrets และ automated pipelines แก่ผู้โจมตีได้ง่าย นักวิจัยจาก Datadog ได้บันทึกลักษณะการใช้งาน API ที่เรียกว่า “pattern” ของการละเมิดที่ดำเนินไปหลายสัปดาห์ต่อเนื่อง แม้ว่าการร้องขอแต่ละครั้งจะดูเหมือนธรรมดาและไม่มีความผิดปกติในตัวเอง
การสำรวจผ่าน API เหล่านี้สามารถทำได้โดยไม่ต้องยืนยันตัวตน เนื่องจากส่วนใหญ่ของ API surface ของ GitHub ถูกออกแบบให้เป็นสาธารณะ การตอบสนองส่วนใหญ่คือ HTTP 200 ทำให้ผู้โจมตีสร้างแผนที่รายละเอียดขององค์กร เช่น รายการรีโพซิทอรีสาธารณะ สมาชิก, ผู้ติดตาม, รีโปที่ถูกดาวน์โหลด หรือโครงการที่มีปฏิสัมพันธ์
Threat Actors' Tactics
นักวิจัยระบุว่าผู้ไม่ประสงค์ดีใช้ ghost accounts ที่สร้างขึ้นตั้งแต่ 2‑5 ปีที่ผ่านมาเพื่อทำการสแกนอย่างเป็นระบบ บัญชีเหล่านี้ดูเหมือนบัญชีผู้ใช้งานจริงและมักจะถูกใช้ในช่วง “burst” ของ 1‑3 สัปดาห์ต่อหลายองค์กรพร้อมกัน หลังจากนั้นก็หยุดกิจกรรมทันที
- ใช้ user agents ปลอมที่อ้างว่าเป็นเครื่องมือวิเคราะห์ข้อมูล เช่น `GitHub-Company-Scraper`, `GitHubAnalytics/1.5`
- ทำการเรียกใช้ GraphQL endpoint เพื่อดึงข้อมูลแบบ bulk เนื่องจากเหมาะกับการสืบค้นหลายระดับพร้อมกัน
- บางครั้งโจมตีอาจใช้ OAuth tokens หรือ **Personal Access Tokens (PATs) ของผู้ใช้งานที่เผยแพร่โดยไม่ได้ตั้งใจ
กลุ่มอาชญากรรมไซเบอร์ยังผสมผสานการใช้เครื่องมือสแกนอัตโนมัติ, การละเมิดข้อมูลรั่วไหล, และเครือข่ายของบัญชี “burner” ที่ทำงานร่วมกัน ทำให้ยากต่อการระบุแหล่งที่มาที่ชัดเจน
Impact on Enterprises
การแมปองค์กรและสมาชิกผ่าน API สาธารณะอาจไม่ให้เข้าถึงข้อมูลส่วนตัวโดยตรง แต่เมื่อผู้โจมตีรวบรวมข้อมูลเหล่านี้ได้ครบถ้วนแล้ว พวกเขาสามารถใช้เพื่อวางแผนโจมตีขั้นต่อไป เช่น การขโมย API keys, ค้นหาความเปราะบางของซอฟต์แวร์ที่เป็นกรรมสิทธิ์, หรือทำการคล cloning ของรีโพสิตอรีส่วนตัวโดยไม่ได้รับอนุญาต
ผลกระทบเชิงธุรกิจประกอบด้วย
- ความเสี่ยงต่อการสูญเสียทรัพย์สินทางปัญญา (IP) ที่อาจนำไปสู่ค่าใช้จ่ายในการฟื้นฟูและคดีความ
- การเปิดเผย default credentials ของซอฟต์แวร์ที่ติดตั้งโดยอัตโนมัติ ทำให้ผู้โจมตีสามารถทดสอบการเข้าถึงระบบจริงได้
ด้วยเหตุนี้ ผู้จัดการด้านความปลอดภัยจึงต้องพิจารณา GitHub ไม่เพียงเป็นเครื่องมือสำหรับพัฒนาโค้ดเท่านั้น แต่ยังเป็นแหล่งข้อมูลที่อาจถูกใช้เพื่อสำรวจและวางแผนการโจมตีในระดับองค์กร
Detection & Mitigation Strategies
Julie Agnes Sparks จาก Datadog แนะนำว่าการตรวจจับพฤติกรรมผิดปกติสามารถทำได้โดยเฝ้าติดตามฟิลด์สำคัญต่อไปนี้:
- User agent ที่ไม่เคยปรากฏในบันทึกปกติ
- ประเภทของ token (เช่น OAuth, PAT) และ ASN ของผู้ส่งคำขอ
- ความถี่และรูปแบบการเรียกใช้ GraphQL หรือ REST endpoints
องค์กรควรเปิดใช้งาน GitHub audit log streaming, ทำการตั้งค่า baseline สำหรับ user agents ที่คุ้นเคย, และดำเนินการ threat hunting อย่างต่อเนื่อง เพื่อตรวจจับกิจกรรมที่ไม่สอดคล้องกับพฤติกรรมปกติของผู้ใช้
นอกจากนี้ การตรวจสอบและรีเฟรช credentials ที่อาจหลุดรั่วบน GitHub รวมถึงจำกัดการเข้าถึงรีโพสิตอรีส่วนตัวโดยใช้นโยบาย “least privilege” จะช่วยลดโอกาสที่ข้อมูลลับจะถูกดึงออกมาได้
Industry Perspective
ผู้เชี่ยวชาญจาก Beauceron Security และ DataBee เห็นพัฒนาการนี้เป็นผลมาจากความต้องการขององค์กรที่จะเร่งรัดกระบวนการพัฒนาโดยใช้ AI agents ซึ่งทำให้จำนวนข้อมูลลับบนแพลตฟอร์มเพิ่มขึ้นอย่างต่อเนื่อง ความนิยมของ GitHub เป็นที่ยอมรับทั่วโลกทำให้มันกลายเป็น “gold mine” สำหรับผู้โจมตี
David Shipley ของ Beauceron Security กล่าวว่าการที่ “มีทองอยู่ในภูเขานั้น” แสดงถึงความสำคัญของการปกป้อง secrets และการกำหนดนโยบายตรวจสอบอย่างเข้มงวดเพื่อไม่ให้ข้อมูลลับกลายเป็นเป้าหมายที่ง่ายต่อการขโมย
Summary
การใช้ GitHub Public APIs เพื่อทำ reconnaissance ขององค์กรกำลังเพิ่มขึ้นอย่างชัดเจน ผู้โจมตีผสมผสานเทคนิคอัตโนมัติและบัญชี “ghost” ทำให้การตรวจจับต้องอาศัยการวิเคราะห์เชิงลึกของบันทึกกิจกรรม GitHub บริษัทควรเสริมสร้างมาตรการเฝ้าระวังและจัดตั้งแนวทางปฏิบัติด้านความปลอดภัยที่เหมาะสมเพื่อคุ้มครองซอร์สโค้ดและข้อมูลลับจากการละเมิดในอนาคต.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- GitHub’s public APIs are becoming an enterprise reconnaissance tool
- ผู้เขียน
- Unknown
- แหล่ง
- InfoWorld
- วันที่เผยแพร่
- 9 กรกฎาคม 2569 เวลา 06:03



