Campagnes coordonnées d'énumération GitHub via API et abus de tokens d'accès
🔍 Contexte Publié le 8 juillet 2026 par Datadog Security Labs (auteure : Julie Agnes Sparks), cet article de recherche documente plusieurs mois de surveillance d’une activité soutenue d’abus de l’API GitHub visant à cartographier des organisations, leurs membres et leurs dépôts. 🎯 Nature de la menace L’activité observée n’est pas attribuée à un acteur unique mais à plusieurs campagnes chevauchantes combinant : Des réseaux de comptes « ghost » (créés 2 à 5 ans avant activation) envoyant du trafic API coordonné Des tokens OAuth et PAT compromis issus d’utilisateurs légitimes (exposition accidentelle ou compromission d’endpoint) Des outils de scraping automatisés avec des user agents personnalisés ou imitant des outils légitimes 👻 Comptes fantômes Plus de plusieurs dizaines de comptes ghost ont été confirmés depuis octobre (année non précisée). Les conventions de nommage forment des familles reconnaissables : préfixe amazon-data-*, famille *-orb (kuku-orb, lolo-orb, lulu-orb, ruru-orb, zouzou-orb, meme-orb), BirdWithDreams, BirdWithPlan, user432023, user412023. Ces comptes sont utilisés en rafales de 2 à 3 semaines sur de nombreuses organisations. ...