det0263-detecting-bulk-or-anomalous-access-to-private-code-repositories-via-saas

# DET0263 — Detecting Bulk or Anomalous Access to Private Code Repositories via SaaS Platforms ## Descrição Esta estratégia detecta acesso anômalo ou em massa a repositórios de código privados em plataformas SaaS como GitHub Enterprise, GitLab, Bitbucket e Azure DevOps. Adversários com acesso a tokens de API ou credenciais comprometidas frequentemente realizam clone em massa de repositórios para exfiltrar propriedade intelectual, segredos embutidos em código e configurações de infraestrutura. O padrão típico inclui: clonagem de dezenas de repositórios em curto período, download de arquivos usando a API de conteúdo em sequência, e acesso por IP ou user-agent não associado ao desenvolvedor. Incidentes como o ataque à Uber (2022) e LastPass (2022) envolveram exfiltração de código-fonte de repositórios privados após comprometimento de credenciais. A telemetria requer ativação de logs de auditoria na plataforma SaaS (GitHub Audit Log, GitLab Audit Events), alertas para operações de clone ou download em massa por token de acesso, e detecção de acesso de IPs anômalos ou user-agents de clientes git não convencionais. ## Indicadores de Detecção - Token de API ou OAuth realizando `git clone` de > 10 repositórios em < 30 minutos - Acesso à API de conteúdo de repositório (`/repos/{owner}/{repo}/contents/`) iterando múltiplos paths - Login ao GitHub/GitLab de IP em país não associado ao histórico do usuário - Token de acesso pessoal (PAT) sendo usado após período de inatividade > 30 dias - Download em massa via API sem correspondência de atividade no branch de desenvolvimento (sem commits/PRs) - User-agent incomum nos logs de acesso da plataforma (`go-http-client`, `python-requests`, `curl`) ## Técnicas Relacionadas - [[T1213.003-code-repositories|T1213.003 — Code Repositories]] - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[T1078.004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[T1552.007-container-api|T1552.007 — Container API]] ## Analytics Relacionadas - [[an0732-analytic-0732|AN0732 — Analytic 0732]] --- *Fonte: [MITRE ATT&CK — DET0263](https://attack.mitre.org/detectionstrategies/DET0263)*