Datadog Security Labs ने कई समन्वित अभियानों की चेतावनी दी है, जहाँ हमलावर पुराने या समझौता किए गए GitHub ‘ghost’ अकाउंट्स का उपयोग करके कंपनियों के रिपॉज़िटरी और उपयोगकर्ता डेटा को बड़े पैमाने पर स्क्रैप कर रहे हैं। यह रणनीति सुरक्षा टीमों को धोखा देती है और संवेदनशील कोड‑बेस की खोज को आसान बनाती है।

GitHub, जो ओपन‑सोर्स कोड का प्रमुख मंच है, अब साइबर‑सुरक्षा के नए खतरे के केंद्र में है। Datadog Security Labs की रिपोर्ट के अनुसार, हमलावरों ने डॉर्मेंट GitHub अकाउंट्स—जो अक्सर कई साल पुरानी, निष्क्रिय या समझौता किए गए OAuth टोकन वाली प्रोफ़ाइल होते हैं—का फायदा उठाकर कॉर्पोरेट संगठनों की संरचना, रिपॉज़िटरी और उपयोगकर्ता सूची को स्वचालित रूप से एकत्र कर रहे हैं।

पृष्ठभूमि और तकनीकी कार्यप्रणाली

GitHub API सार्वजनिक रूप से उपलब्ध जानकारी प्रदान करता है, जिससे कोई भी उपयोगकर्ता संगठन‑स्तर के डेटा को क्वेरी कर सकता है। इस सुविधा का दुरुपयोग करने के लिए हमलावर कस्टम या वैध‑साउंडिंग यूज़र‑एजेंट्स के साथ स्वचालित स्क्रैपिंग टूल्स विकसित करते हैं। ये टूल्स अक्सर ‘ghost’ अकाउंट्स से जुड़े होते हैं—ऐसे अकाउंट्स जो वर्षों से निष्क्रिय हैं, लेकिन अभी भी वैध OAuth टोकन रखे होते हैं।

सुरक्षा जोखिम और संभावित प्रभाव

जब कोई हमलावर इस तरह की जानकारी एकत्र करता है, तो वह संगठन के अंदरूनी संरचना, प्रोजेक्ट निर्भरताएँ और संभावित कमजोरियों को समझ सकता है। इस डेटा का उपयोग फ़िशिंग अभियान, लक्षित रैनसमवेयर या कोड‑इंजेक्शन हमलों को अधिक प्रभावी बनाने में किया जा सकता है। विशेष रूप से, यदि हमलावर कोड‑बेस में मौजूद ज्ञात कमजोरियों की पहचान कर लेता है, तो वे उन कमज़ोरियों को शोषण करने के लिए तैयार हो जाते हैं।

निवारण उपाय और सर्वोत्तम प्रथाएँ

संगठन को तुरंत निम्नलिखित कदम उठाने चाहिए:

  • सभी OAuth टोकन की नियमित ऑडिटिंग और अनावश्यक टोकन का निरसन।
  • ‘Ghost’ अकाउंट्स की पहचान कर उन्हें निष्क्रिय या हटाना।
  • GitHub API रेट‑लिमिट और IP‑फ़िल्टरिंग को सख्त करना, ताकि अनधिकृत स्क्रैपिंग को रोका जा सके।
  • एक्सेस लॉग की निरंतर निगरानी और असामान्य पैटर्न का शीघ्र पता लगाना।

भविष्य की दिशा

GitHub स्वयं भी सुरक्षा फीचर को सुदृढ़ कर रहा है, जिसमें अधिक विस्तृत टोकन स्कोपिंग और दो‑फ़ैक्टर ऑथेंटिकेशन (2FA) की अनिवार्यता शामिल है। परन्तु यह जिम्मेदारी पूरी तरह से उपयोगकर्ताओं और संस्थाओं पर भी निर्भर करती है कि वे अपने अकाउंट्स को सुरक्षित रखें। जब तक ‘डॉर्मेंट’ अकाउंट्स को सक्रिय रूप से प्रबंधित नहीं किया जाता, तब तक इस प्रकार के स्वचालित इंटेलिजेंस‑ड्रिवेन हमले जारी रहेंगे।