GitHub Codespaces 可被滥用于托管和传播恶意软件

702552f0132c3c7b51e8daecdde93a4a.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

研究员说明了威胁行动者如何滥用 GitHub Codesapces 的“端口转发”特性来托管和传播恶意软件和恶意脚本。

GitHub Codespaces 可使开发人员在虚拟化容器中部署托管在云上的IDE平台,在web浏览器中直接编写、编辑并测试/运行代码。自2022年11月推出以来,它在开发人员群体十分受欢迎,可用于预配置、基于容器的环境中,并配备项目所需的所有必要工具和依赖关系。

01

将GitHub Codespaces 作为恶意软件服务器

趋势科技在报告中指出,研究人员展示了如何可轻易将GitHub Codespaces 配置为web 服务器,传播恶意内容并避免对来自微软的流量的检测。GitHub Codespaces 可使开发人员将TCP端口转发给公众,因此外部用户可测试或查看应用程序。在Codespace VM中转发端口时,该特性将生成访问在该端口上运行的app的URL,端口可配置为非公开或公开。

非公开端口转发要求通过令牌或cookie的方式认证,以访问该URL。而任何人可访问公开端口而无需任何认证。该特性使得开发人员在代码演示方面具有灵活性,但研究人员指出当前攻击者可轻易滥用该特性托管恶意软件。

从理论上来讲,攻击者可运行简单的Python web服务器,将恶意脚本或恶意软件上传至Codespace,在虚拟机上打开web服务器端口并将其可见性分配为“公开”。生成的URL之后可用于访问这些托管文件,或用于钓鱼攻击或用于托管其它恶意软件下载的恶意可执行文件。而这正是攻击者滥用可信任服务如Google Cloud、Amazon AWS和微软Azure 传播恶意软件的方式。

报告指出,“为了验证我们对威胁建模滥用场景的假设,我们在端口8080上运行了一台基于Python的HTTP服务器,公开转发并暴露该端口。在此过程中,我们轻松发现了该URL以及认证无需cookie的情况。”

报告指出,虽然Codespaces端口转发系统默认使用HTTP,但开发人员可将其设置为HTTPS,从而增加了对URL安全性的错觉。由于GitHub是一个可信空间,反病毒工具不太可能发出警报,因此威胁行动者可以最小代价躲避检测。

02

更多的攻击场景

分析人员还探索了滥用GitHub Codespaces 中的开发容器(Dev Containers)以更有效地传播恶意软件的情况。

GitHub Codespaces 中的“开发容器”是一个预配置容器,包含特定项目所需的所有必要依赖和工具。攻击者可通过该容器进行快速部署,和他人分享或者通过VCS进行连接。攻击者可使用脚本转发端口、运行Python HTTP服务器并在Codespace内下载恶意文件。之后将端口的可见性设为公开,从而创建具有开放目录的webserver,将恶意文件传播给目标。

报告创建了相关PoC,使用的是在URL访问后web服务器被删除之前的100秒延迟。BleepingComputer 复现了通过Codespaces创建“恶意”webserver的场景,耗时不超过10分钟且无需对该特性拥有任何经验。

报告指出,“通过这类脚本,攻击者可轻松滥用GitHub Codespaces 通过codespace环境中公开暴露的端口,快速传播恶意内容。由于所创建的每个Codespace都具有唯一标号,因此所关联的子域名也是唯一的。这就使得攻击者能够创建不同的开放目录实例。”

GitHub的策略是,不活跃的codespace 会在30天后删除,因此攻击者可在一个月的时间内使用相同的URL。虽然目前尚不存在针对GitHub Codespaces 的已知滥用情况,但报告强调了一种现实的可能性,因为威胁行动者一般偏向于选择同时被安全产品信任的“免费使用”平台。

GitHub回应称已注意到该报告,计划增加提示,提醒用户连接到codespace时确认是否信任该所有人。另外,建议用户根据使用指南维护开发环境安全并使风险最小化。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

Slack 的GitHub 私有仓库被盗

GitHub Actions 漏洞可导致攻击者投毒开发管道

GitHub 为公开仓库设立非公开漏洞报告渠道,保护开源软件安全

微软GitHub Copilot 被诉违反开源许可条款和侵犯开发人员权益

GitHub账户重命名可引发供应链攻击

原文链接

https://www.bleepingcomputer.com/news/security/hackers-can-use-github-codespaces-to-host-and-deliver-malware/

题图:Pexels License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

03b0aa04a8380e4cdb051ac8317084ea.jpeg

a91b25b7fcfd94704e659fc776196891.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   1a7d9f05b771f0ea183a41c0a2cca2c0.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值