Threats

Campanhas usam contas fantasma para mapear GitHub

A Datadog identificou campanhas que recorrem a contas inativas para mapear organizações no GitHub, recolher informação pública e, em alguns casos, aceder a repositórios privados

14/07/2026

Campanhas usam contas fantasma para mapear GitHub
Photo Agency / AdobeStock

A Datadog identificou várias campanhas que exploram a API do GitHub para mapear organizações, repositórios e utilizadores, recorrendo a contas fantasma criadas há vários anos e mantidas inativas até serem utilizadas nas operações.

Segundo a empresa de cibersegurança, a atividade decorre há vários meses e combina scanners automatizados, utilização de credenciais comprometidas e redes coordenadas de contas inativas. Embora a maioria dos pedidos incida sobre informação pública disponível na plataforma, em alguns casos os atacantes evoluíram para a clonagem de repositórios e para a exfiltração de dados.

A Datadog explica que grande parte da API do GitHub pode ser utilizada sem autenticação, permitindo consultar repositórios públicos, membros de organizações, listas de seguidores, projetos assinalados como favoritos e outros dados. Como estes pedidos geram respostas legítimas e não produzem alertas de autenticação, a atividade tende a confundir-se com o tráfego normal da plataforma.

Desde outubro de 2025, foram identificadas mais de 50 contas fantasma envolvidas nestas campanhas. Os pedidos são realizados em períodos de uma a três semanas e utilizam user agents com nomes semelhantes aos de ferramentas de análise de dados, painéis de monitorização ou soluções de exfiltração, dificultando a sua identificação.

A empresa identificou ainda uma campanha que explorou tokens expostos inadvertidamente por utilizadores legítimos do GitHub para aceder a caminhos de commits em repositórios privados. Em alguns casos, os atacantes conseguiram exfiltrar informação das organizações visadas.

A Datadog recomenda às organizações que monitorizem sinais de exfiltração de dados em repositórios privados, analisem padrões anómalos de user agents e ativem o GitHub Audit Log Streaming para facilitar a deteção deste tipo de atividade. A empresa aconselha ainda a criação de perfis de comportamento normal e o desenvolvimento de mecanismos de deteção adaptados a cada ambiente GitHub.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº30 JUNHO 2026

IT SECURITY Nº30 JUNHO 2026

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.