Niedawno wprowadzona funkcja GitHub może być nadużywana do hostingu i dystrybucji złośliwego oprogramowania wśród społeczności twórców oprogramowania, twierdzą eksperci.
Badacze cyberbezpieczeństwa z Trend Micro opublikowali raport szczegółowo opisujący, jak GitHub Codespaces może być nadużywany do dostarczania złośliwych skryptów do niczego niepodejrzewających twórców oprogramowania.
GitHub opisuje Codespaces, uruchomiony w listopadzie 2022 roku, jako “błyskawiczne, oparte na chmurze środowisko programistyczne, które wykorzystuje kontener, aby zapewnić Ci wspólne języki, narzędzia i zasoby do rozwoju.” Innymi słowy, programiści mogą pisać i testować kod bezpośrednio w przeglądarce.
Problem leży w tym, że Codespaces pozwala na przekierowanie portów TCP, co jest dobrze pomyślaną funkcją pozwalającą deweloperom na udostępnianie swojej pracy publicznie, prawdopodobnie w celu testowania. Ktokolwiek zna adres URL, może uzyskać dostęp do pracy. Tak więc, w teorii, haker może uruchomić serwer internetowy Python, przesłać złośliwe oprogramowanie do Codespace, otworzyć port serwera internetowego i ustawić widoczność jako “publiczną”.
“Aby potwierdzić naszą hipotezę o scenariuszu nadużycia modelu zagrożenia, uruchomiliśmy oparty na Pythonie serwer HTTP na porcie 8080, przekierowaliśmy i wystawiliśmy port na widok publiczny” – powiedziało Trend Micro w swoim raporcie. “W procesie, łatwo znaleźliśmy adres URL i brak plików cookie do uwierzytelniania”.
Co więcej, przekierowanie portu domyślnie używa protokołu HTTP, ale hakerzy mogą łatwo ustawić go na HTTPS, aby wzmocnić fałszywe poczucie bezpieczeństwa. Na domiar złego jest fakt, że GitHub jest uważany za zaufane środowisko, ruch pochodzi od Microsoftu i jako taki prawdopodobnie nie wzbudzi żadnych alarmów antywirusowych.
Ale to nie wszystko. Funkcja Codespaces o nazwie “Dev Containers” może być również nadużywana do bardziej płynnej dystrybucji złośliwego oprogramowania. Funkcja ta pozwala programistom na tworzenie wstępnie skonfigurowanych kontenerów zawierających wszystkie niezbędne zależności dla danego projektu.
BleepingComputer poinformował, że udało mu się stworzyć złośliwy serwer internetowy z Codespaces “w mniej niż 10 minut, przy zerowym doświadczeniu z tą funkcją”.
