Эксперты TrendMicro выяснили, что общедоступная с ноября 2022 года функция GitHub Codespaces может использоваться злоумышленниками с учётными записями на платформе для размещения вредоносного сценариев, ransowmare и других типов вредоносов.
GitHub Codespaces представляет собой бесплатную облачную интегрированную среду разработки (IDE), которая позволяет разработчикам создавать, редактировать и запускать код в своих браузерах через контейнерную среду, работающую в VM.
Одна из функций GitHub Codespaces позволяет разработчикам совместно использовать перенаправленные порты с виртуальной машины как в частном порядке, так и публично, для совместной работы в режиме реального времени.
К частному порту можно получить доступ только через URL-адрес, в то время как к общедоступным портам может получить доступ любой, у кого есть URL-адрес, без какой-либо формы аутентификации.
Исследователи TrendMicro смогли создать HTTP-сервер на основе Python на порту 8080 и публично поделиться переадресованным портом. они отметили, что URL-адрес может быть доступен любому, поскольку он не включает файлы cookie для аутентификации.
Перенаправление портов в GitHub Codespaces обычно реализуется через HTTP, но разработчики могут переключиться на HTTPS, что автоматически сделает порт закрытым.
По мнению исследователей TrendMicro, злоумышленник может выполнить простой сценарий для многократного создания пространства кода с общедоступным портом и использовать его для размещения вредоносного контента. По сути, это будет веб-сервер с открытым каталогом, содержащим вредоносное ПО.
Хакер также сможет настроить его на автоматическое удаление после того, как был получен доступ к URL-адресу.
Таким образом, злоумышленники могут легко злоупотреблять GitHub Codespaces для быстрой доставки вредоносного кода, публично открывая порты в своих средах codespace.
Поскольку каждое созданное кодовое пространство имеет уникальный идентификатор, связанный с ним субдомен также уникален, что даёт достаточно оснований для создания различных экземпляров открытых каталогов.
Пока нет никаких доказательств того, что подобная техника использовалась на практике, но, как известно, злоумышленники достаточно часто злоупотребляют бесплатными облачными сервисами и платформами в проведении кампаний.
Для снижения риска выявленных угроз разработчикам рекомендуется использовать только тот код, которому они могут доверять, и убедиться, что они используют только признанные и поддерживаемые образы контейнеров, а также защитить свои учётные записи GitHub надёжными паролями и 2FA. GitHub к концу 2023 года потребует от всех пользователей включить двухфакторную аутентификацию.
Кроме того, GitHub планирует добавить запрос на подтверждение того, что пользователи доверяют владельцу при подключении к кодовому пространству.
Разработчик рекомендует пользователям GitHub Codespaces следовать советам по обеспечению безопасности и минимизации рисков, связанных с их средой разработки.
