<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>GitHub-Company-Scraper on CyberVeille</title>
    <link>https://cyberveille.ch/tags/github-company-scraper/</link>
    <description>Recent content in GitHub-Company-Scraper on CyberVeille</description>
    <generator>Hugo -- 0.146.0</generator>
    <language>fr-fr</language>
    <copyright>Cyberveille CC BY-NC-SA 4.0</copyright>
    <lastBuildDate>Thu, 09 Jul 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://cyberveille.ch/tags/github-company-scraper/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Campagnes coordonnées d&#39;énumération GitHub via API et abus de tokens d&#39;accès</title>
      <link>https://cyberveille.ch/posts/2026-07-09-campagnes-coordonnees-d-enumeration-github-via-api-et-abus-de-tokens-d-acces/</link>
      <pubDate>Thu, 09 Jul 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-07-09-campagnes-coordonnees-d-enumeration-github-via-api-et-abus-de-tokens-d-acces/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🔍 Contexte&lt;/h2&gt;
&lt;p&gt;Publié le 8 juillet 2026 par Datadog Security Labs (auteure : Julie Agnes Sparks), cet article de recherche documente plusieurs mois de surveillance d&amp;rsquo;une activité soutenue d&amp;rsquo;abus de l&amp;rsquo;API GitHub visant à cartographier des organisations, leurs membres et leurs dépôts.&lt;/p&gt;
&lt;h2 id=&#34;-nature-de-la-menace&#34;&gt;🎯 Nature de la menace&lt;/h2&gt;
&lt;p&gt;L&amp;rsquo;activité observée n&amp;rsquo;est pas attribuée à un acteur unique mais à &lt;strong&gt;plusieurs campagnes chevauchantes&lt;/strong&gt; combinant :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Des &lt;strong&gt;réseaux de comptes « ghost »&lt;/strong&gt; (créés 2 à 5 ans avant activation) envoyant du trafic API coordonné&lt;/li&gt;
&lt;li&gt;Des &lt;strong&gt;tokens OAuth et PAT compromis&lt;/strong&gt; issus d&amp;rsquo;utilisateurs légitimes (exposition accidentelle ou compromission d&amp;rsquo;endpoint)&lt;/li&gt;
&lt;li&gt;Des &lt;strong&gt;outils de scraping automatisés&lt;/strong&gt; avec des user agents personnalisés ou imitant des outils légitimes&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-comptes-fantômes&#34;&gt;👻 Comptes fantômes&lt;/h2&gt;
&lt;p&gt;Plus de &lt;strong&gt;plusieurs dizaines de comptes ghost&lt;/strong&gt; ont été confirmés depuis octobre (année non précisée). Les conventions de nommage forment des familles reconnaissables : préfixe &lt;code&gt;amazon-data-*&lt;/code&gt;, famille &lt;code&gt;*-orb&lt;/code&gt; (kuku-orb, lolo-orb, lulu-orb, ruru-orb, zouzou-orb, meme-orb), &lt;code&gt;BirdWithDreams&lt;/code&gt;, &lt;code&gt;BirdWithPlan&lt;/code&gt;, &lt;code&gt;user432023&lt;/code&gt;, &lt;code&gt;user412023&lt;/code&gt;. Ces comptes sont utilisés en rafales de 2 à 3 semaines sur de nombreuses organisations.&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
