Os invasores usam uma combinação de agentes de exfiltração de dados com nomes como GitHub-Company-Scraper, Ferramenta GitHub-Scraper/1.0., e GitHubAnalytics/1.5,projetado para se misturar ao tráfego normal de análise de dados. A maior parte das solicitações tem como alvo a linguagem de consulta de código aberto /grafqlque é “adequado” para consultas em massa entre empresas, usuários e repositórios, observou Sparks. Endpoints REST normais são usados ​​para mapeamento organizacional.

O foco das campanhas era “estreito e consistente” e a preocupação “está no agregado”, disse Sparks. Isoladamente, as solicitações têm como alvo repositórios públicos sem autenticação e retornam respostas bem-sucedidas. Isto raramente produz “acesso significativo” aos repositórios de uma empresa.

Mas um grupo de contas movendo-se em sincronia entre contas compartilhadas do GitHub com ferramentas personalizadas e versionadas durante um período de semanas representa um comportamento mais problemático e sistemático. Ela citou um evento em que dezenas de contas de usuários do GitHub distintas, legítimas, mas comprometidas, fizeram solicitações de API para uma única organização em apenas alguns minutos, embora nesse caso o ataque tenha falhado, porque eles tinham como alvo caminhos de commit de repositórios privados.