查看原文
其他

GitHub Codespaces 可被滥用于托管和传播恶意软件

Bill Toulas 代码卫士 2023-02-07

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



研究员说明了威胁行动者如何滥用 GitHub Codesapces 的“端口转发”特性来托管和传播恶意软件和恶意脚本。

GitHub Codespaces 可使开发人员在虚拟化容器中部署托管在云上的IDE平台,在web浏览器中直接编写、编辑并测试/运行代码。自2022年11月推出以来,它在开发人员群体十分受欢迎,可用于预配置、基于容器的环境中,并配备项目所需的所有必要工具和依赖关系。


01将GitHub Codespaces 作为恶意软件服务器


趋势科技在报告中指出,研究人员展示了如何可轻易将GitHub Codespaces 配置为web 服务器,传播恶意内容并避免对来自微软的流量的检测。GitHub Codespaces 可使开发人员将TCP端口转发给公众,因此外部用户可测试或查看应用程序。在Codespace VM中转发端口时,该特性将生成访问在该端口上运行的app的URL,端口可配置为非公开或公开。

非公开端口转发要求通过令牌或cookie的方式认证,以访问该URL。而任何人可访问公开端口而无需任何认证。该特性使得开发人员在代码演示方面具有灵活性,但研究人员指出当前攻击者可轻易滥用该特性托管恶意软件。

从理论上来讲,攻击者可运行简单的Python web服务器,将恶意脚本或恶意软件上传至Codespace,在虚拟机上打开web服务器端口并将其可见性分配为“公开”。生成的URL之后可用于访问这些托管文件,或用于钓鱼攻击或用于托管其它恶意软件下载的恶意可执行文件。而这正是攻击者滥用可信任服务如Google Cloud、Amazon AWS和微软Azure 传播恶意软件的方式。

报告指出,“为了验证我们对威胁建模滥用场景的假设,我们在端口8080上运行了一台基于Python的HTTP服务器,公开转发并暴露该端口。在此过程中,我们轻松发现了该URL以及认证无需cookie的情况。”

报告指出,虽然Codespaces端口转发系统默认使用HTTP,但开发人员可将其设置为HTTPS,从而增加了对URL安全性的错觉。由于GitHub是一个可信空间,反病毒工具不太可能发出警报,因此威胁行动者可以最小代价躲避检测。


02更多的攻击场景


分析人员还探索了滥用GitHub Codespaces 中的开发容器(Dev Containers)以更有效地传播恶意软件的情况。

GitHub Codespaces 中的“开发容器”是一个预配置容器,包含特定项目所需的所有必要依赖和工具。攻击者可通过该容器进行快速部署,和他人分享或者通过VCS进行连接。攻击者可使用脚本转发端口、运行Python HTTP服务器并在Codespace内下载恶意文件。之后将端口的可见性设为公开,从而创建具有开放目录的webserver,将恶意文件传播给目标。

报告创建了相关PoC,使用的是在URL访问后web服务器被删除之前的100秒延迟。BleepingComputer 复现了通过Codespaces创建“恶意”webserver的场景,耗时不超过10分钟且无需对该特性拥有任何经验。

报告指出,“通过这类脚本,攻击者可轻松滥用GitHub Codespaces 通过codespace环境中公开暴露的端口,快速传播恶意内容。由于所创建的每个Codespace都具有唯一标号,因此所关联的子域名也是唯一的。这就使得攻击者能够创建不同的开放目录实例。”

GitHub的策略是,不活跃的codespace 会在30天后删除,因此攻击者可在一个月的时间内使用相同的URL。虽然目前尚不存在针对GitHub Codespaces 的已知滥用情况,但报告强调了一种现实的可能性,因为威胁行动者一般偏向于选择同时被安全产品信任的“免费使用”平台。

GitHub回应称已注意到该报告,计划增加提示,提醒用户连接到codespace时确认是否信任该所有人。另外,建议用户根据使用指南维护开发环境安全并使风险最小化。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
Slack 的GitHub 私有仓库被盗
GitHub Actions 漏洞可导致攻击者投毒开发管道
GitHub 为公开仓库设立非公开漏洞报告渠道,保护开源软件安全
微软GitHub Copilot 被诉违反开源许可条款和侵犯开发人员权益
GitHub账户重命名可引发供应链攻击



原文链接

https://www.bleepingcomputer.com/news/security/hackers-can-use-github-codespaces-to-host-and-deliver-malware/


题图:Pexels License‍


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存