# DET0805 — Detection of Code Repositories ## Descrição Adversários realizam reconhecimento em repositórios de código públicos e privados para coletar informações sensíveis que auxiliam no planejamento de ataques. Plataformas como GitHub, GitLab e Bitbucket frequentemente contêm segredos expostos inadvertidamente — chaves de API, credenciais hardcoded, configurações de infraestrutura e detalhes de arquitetura interna que reduzem significativamente o esforço necessário para comprometer um alvo. Grupos como [[g0016-apt29]] e [[g0096-apt41]] utilizam essa fase como parte de [[t1593-search-open-websitesdomains]] para mapear a superfície de ataque antes de operações ofensivas. A detecção dessa atividade no lado do defensor envolve monitorar buscas massivas e sistemáticas em repositórios corporativos, especialmente quando realizadas por contas com poucos commits ou histórico recente de criação. Ferramentas de varredura automatizada como `truffleHog`, `gitleaks` e `gitrob` são frequentemente usadas por atacantes para automatizar a extração de segredos, e seus padrões de acesso são detectáveis via logs de auditoria da plataforma. Organizações com repositórios internos devem monitorar acessos de leitura em massa, clonagens completas de repositórios por usuários não habituais e consultas à API do GitHub/GitLab com tokens de alto privilégio. A correlação desses eventos com IPs de saída anômalos ou contas recentemente comprometidas é indicativa da fase de reconhecimento descrita em [[T1593.001-search-open-websites-domains-social-media]] e [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]]. ## Indicadores de Detecção - Clonagem em massa de múltiplos repositórios por uma única conta em curto intervalo de tempo - Buscas com termos como `password`, `secret`, `api_key`, `token` via API de busca do GitHub/GitLab - Acessos à API de repositórios por tokens com escopo amplo (`repo:*`) de IPs externos incomuns - Download de arquivos `.env`, `config.yml`, `credentials.json` de repositórios privados - Execução de ferramentas de scanning como `gitleaks`, `truffleHog` ou `gitrob` na rede interna - Alertas de vazamento de segredos em commits recentes detectados por GitHub Advanced Security - Criação de forks privados de repositórios internos seguidos de exclusão do fork ## Técnicas Relacionadas - [[t1593-search-open-websitesdomains]] — busca em repositórios públicos - [[t1592-gather-victim-host-information|T1592-gather-victim-host-information]] — coleta de informações de infraestrutura via código - [[t1528-steal-application-access-token|T1528-steal-application-access-token]] — tokens de API expostos em repositórios - [[t1552-unsecured-credentials|T1552-unsecured-credentials]] — credenciais hardcoded em código-fonte - [[t1213-data-from-information-repositories|T1213-data-from-information-repositories]] — extração de dados de repositórios internos ## Analytics Relacionadas - [[an1937-analytic-1937|AN1937 — Analytic 1937]] --- *Fonte: [MITRE ATT&CK — DET0805](https://attack.mitre.org/detectionstrategies/DET0805)*