GitHub Codespaces 可被滥用于托管和传播恶意软件

最新推荐文章于 2024-03-05 22:53:14 发布
最新推荐文章于 2024-03-05 22:53:14 发布
阅读量1.1k 收藏
点赞数
文章标签: github
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247515363&idx=1&sn=7bedb454246d2014c51601f6e2bc3f59&chksm=ea948d89dde3049fa0c32a8f6d377ca5f9e53fca118252965167e2d8ad5fa884a2c586a2e81f&scene=126&sessionid=0
版权

702552f0132c3c7b51e8daecdde93a4a.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

研究员说明了威胁行动者如何滥用 GitHub Codesapces 的“端口转发”特性来托管和传播恶意软件和恶意脚本。

GitHub Codespaces 可使开发人员在虚拟化容器中部署托管在云上的IDE平台,在web浏览器中直接编写、编辑并测试/运行代码。自2022年11月推出以来,它在开发人员群体十分受欢迎,可用于预配置、基于容器的环境中,并配备项目所需的所有必要工具和依赖关系。

01

将GitHub Codespaces 作为恶意软件服务器

趋势科技在报告中指出,研究人员展示了如何可轻易将GitHub Codespaces 配置为web 服务器,传播恶意内容并避免对来自微软的流量的检测。GitHub Codespaces 可使开发人员将TCP端口转发给公众,因此外部用户可测试或查看应用程序。在Codespace VM中转发端口时,该特性将生成访问在该端口上运行的app的URL,端口可配置为非公开或公开。

非公开端口转发要求通过令牌或cookie的方式认证,以访问该URL。而任何人可访问公开端口而无需任何认证。该特性使得开发人员在代码演示方面具有灵活性,但研究人员指出当前攻击者可轻易滥用该特性托管恶意软件。

从理论上来讲,攻击者可运行简单的Python web服务器,将恶意脚本或恶意软件上传至Codespace,在虚拟机上打开web服务器端口并将其可见性分配为“公开”。生成的URL之后可用于访问这些托管文件,或用于钓鱼攻击或用于托管其它恶意软件下载的恶意可执行文件。而这正是攻击者滥用可信任服务如Google Cloud、Amazon AWS和微软Azure 传播恶意软件的方式。

报告指出,“为了验证我们对威胁建模滥用场景的假设,我们在端口8080上运行了一台基于Python的HTTP服务器,公开转发并暴露该端口。在此过程中,我们轻松发现了该URL以及认证无需cookie的情况。”

报告指出,虽然Codespaces端口转发系统默认使用HTTP,但开发人员可将其设置为HTTPS,从而增加了对URL安全性的错觉。由于GitHub是一个可信空间,反病毒工具不太可能发出警报,因此威胁行动者可以最小代价躲避检测。

02

更多的攻击场景

分析人员还探索了滥用GitHub Codespaces 中的开发容器(Dev Containers)以更有效地传播恶意软件的情况。

GitHub Codespaces 中的“开发容器”是一个预配置容器,包含特定项目所需的所有必要依赖和工具。攻击者可通过该容器进行快速部署,和他人分享或者通过VCS进行连接。攻击者可使用脚本转发端口、运行Python HTTP服务器并在Codespace内下载恶意文件。之后将端口的可见性设为公开,从而创建具有开放目录的webserver,将恶意文件传播给目标。

报告创建了相关PoC,使用的是在URL访问后web服务器被删除之前的100秒延迟。BleepingComputer 复现了通过Codespaces创建“恶意”webserver的场景,耗时不超过10分钟且无需对该特性拥有任何经验。

报告指出,“通过这类脚本,攻击者可轻松滥用GitHub Codespaces 通过codespace环境中公开暴露的端口,快速传播恶意内容。由于所创建的每个Codespace都具有唯一标号,因此所关联的子域名也是唯一的。这就使得攻击者能够创建不同的开放目录实例。”

GitHub的策略是,不活跃的codespace 会在30天后删除,因此攻击者可在一个月的时间内使用相同的URL。虽然目前尚不存在针对GitHub Codespaces 的已知滥用情况,但报告强调了一种现实的可能性,因为威胁行动者一般偏向于选择同时被安全产品信任的“免费使用”平台。

GitHub回应称已注意到该报告,计划增加提示,提醒用户连接到codespace时确认是否信任该所有人。另外,建议用户根据使用指南维护开发环境安全并使风险最小化。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Slack 的GitHub 私有仓库被盗

GitHub Actions 漏洞可导致攻击者投毒开发管道

GitHub 为公开仓库设立非公开漏洞报告渠道,保护开源软件安全

微软GitHub Copilot 被诉违反开源许可条款和侵犯开发人员权益

GitHub账户重命名可引发供应链攻击

原文链接

https://www.bleepingcomputer.com/news/security/hackers-can-use-github-codespaces-to-host-and-deliver-malware/

题图:Pexels License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

03b0aa04a8380e4cdb051ac8317084ea.jpeg

a91b25b7fcfd94704e659fc776196891.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   1a7d9f05b771f0ea183a41c0a2cca2c0.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
云上“炼”码兵器 GitHub Codespaces
Kinfey
03-28 991
GitHub 是全球最受欢迎的开发者平台, 自从微软收购了 GitHub 后, GitHub 的功能就越来越强大,除了原有的代码管理外 , 也增加了很多硬货,这就包括了集成 CI/CD 的 GitHub Actions ,以及完善的项目管理功能, 还有一个云端的开发环境 GitHub CodeSpace 。 GitHub Codespaces 并不只是一个简单的改改代码的编辑器,它还包含了一个完整开发环境 ,让你可以在云上开发完整的项目 。 什么是GitHub Codespaces GitHub Cod
r-codespaces:R和Shiny的GitHub Codespaces配置
05-23
该存储库包含一个基本配置,该配置允许在中 它基于官方Github Codespaces。 它包括和 VSCode扩展。 它带有renv设置,其中包括启用后者扩展所需的languageserver软件包。 要安装它,请在Codespaces控制台中打开R并...
Demo丨GitHub Codespaces,云上开发完整项目
微软技术栈
03-29 973
GitHub 是全球最受欢迎的开发者平台,⾃从微软收购了 GitHub 后,GitHub 的功能就越来越强⼤,除了原有的代码管理外,也增加了很多硬货,这就包括了集成 CI/CD 的 GitHub Actions,以及完善的项⽬管理功能,还有⼀个云端的开发环境 GitHub CodeSpace。GitHub Codespaces 并不只是⼀个简单的改改代码的编辑器,它还包含了⼀个完整开发环境,让你可以在云上开发完整的项⽬。 什么是 GitHub Codespaces GitHub Codespaces
GitHub 新功能:Codespaces,随时随地编写代码
热门推荐
MayanDev
08-14 1万+
GitHub 去年推出了一个 Codespace 功能,提供线上的编程环境,可以编写或者运行 GitHub 仓库中的代码。但此功能一直处于内测阶段,未对外开放。 直到今天,GitHub 在 Twitter 上宣布 Codespaces 现在已经开放给 GitHub Teams 和 GitHub Enterprise Cloud 上的所有人使用,可以为团队快速获得即用即付的托管开发环境。 如果满足资格的用户,可以在仓库的首页的 Code 按钮,看到这样的提示。 遗憾的是,此功能暂未对个人用户的仓库开放。.
桌面版IDE将迎终结,Github发布代码空间Codespaces | 凌云时刻
云布道师
05-11 436
凌云时刻 · 洞见导读:2020年了,你拿啥写码呢?作者 | 马超来源 |凌云时刻(微信号:linuxpk)Satellite 20205月7日,受疫情的影响,全球最大的开源社区Git...
浏览器上写代码,4核8G微软服务器免费用,Codespaces真香
程序员欣宸的博客
05-28 3103
电脑、平板,只要有浏览器就能写代码,页面效果接近桌面版vscode,编译运行代码都在免费的微软服务器上,心动吗?随本文一起行动吧
使用 Github Codespaces 同步镜像到ACR/自建仓库
最新发布
06-21
使用 Github Codespaces 同步镜像到ACR/自建仓库
deno-codespaces:一个使用GitHub Codespaces的deno项目的GitHub模板,在https:deno.land签出deno。
02-14
Deno Codespaces模板 :sauropod: 使用github代码空间设置构建deno模块的模板。如何使用在Github上,只需单击“ Use this template按钮。 在此处,在生成的存储库上,单击“ Code按钮并创建一个新的Code空间Github...
vscode-dev-containers:VS Code Remote-容器扩展和GitHub Codespaces的开发容器定义的存储库
02-05
VS Code Remote / GitHub Codespaces容器定义 Visual Studio代码远程开发和GitHub代码空间在云,本地容器,远程计算机或WSL中打开代码,并利用VS Code的全部功能集。 开发容器是运行中的容器,具有定义明确的工具/...
dotfiles:点文件仓库与GitHub CodeSpaces一起使用
03-28
点文件点文件仓库与GitHub CodeSpaces一起使用
内网穿透(详细且免费)部署(现已推出新的源码 搭建网站和云盘)
lin080101的博客
04-02 9236
内网穿透
Github CodeSpaces 使用及定制化
dotNET跨平台
11-03 4425
Github CodeSpaces 使用及定制化IntroGithub 最近推出了很多令人兴奋的新功能,最近使用了 Github CodeSpaces,觉得还是挺不错的,CodeSpace...
多种内网穿透的实现方案
leoppeng的专栏
04-26 4598
需要注意的是,SSH隧道的性能受到SSH连接的影响,因此在使用SSH隧道时,需要考虑网络环境和SSH连接的稳定性,以确保数据的可靠传输。1G流量也不太够用。SSH隧道是通过在一条SSH连接中嵌入其他协议的方法来实现的,因此它不是一个单独的连接,而是在已有的SSH连接之上添加了额外的功能。比如企业微信、钉钉等开发,需要一个回调地址,开发的时候,希望回调到开发的电脑上,打断点进行调试,这就需要穿透到内网的开发机器。但是在下载的时候杀毒软件直接报毒删掉了,查了下,网上也有很多类似情况,还有安装后中勒索者病毒的。
私有GitLab仓库 - 本地搭建GitLab私有代码仓库并随时远程访问「内网穿透」
喜欢就坚持吧
05-16 4443
GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。
干货!手把手教你穿透内网
叶子叶来
10-24 6475
如果你跟我一样没有公网IP,但是需要将在本地内网搭建的web项目发布到公网测试,又不想很麻烦的部署到服务器上。恭喜你,找对地方了!PS:注意,如果你使用的是免费的cpolar,所生成的公网地址为随机临时地址,每隔24小时会发生变化,带宽1M比较小。,找到我们刚刚创建的隧道,可以看到有生成相应的公网URL地址,有两行,其中一个是http隧道,一个是https隧道。只需要在本地安装cpolar客户端,就可以创建隧道将内网端口映射到公网,生成相应的公网地址,实现公网访问内网。,输入隧道信息,然后点击创建即可。
五分钟教你内网穿透
sora33的博客
08-09 2058
5分钟教你外网访问到本地项目
GitHub Codespaces中使用Docker in Docker和KinD搭建Kubernetes开发环境
十年运维开发经验的王义杰在此分享自己的知识和经验
03-05 992
启动GitHub Codespace:创建一个新的Codespace,选择适合的机器类型和资源配置。配置DinD:在Codespace中安装并配置Docker,启用DinD特性。安装KinD:安装KinD,并使用它在Docker容器中启动一个Kubernetes集群。开发与测试:在这个集群上部署应用,进行开发和测试。
GitHub推出云端IDE,今后可以用手机、平板也可以开发程序啦
weixin_40381772的博客
08-18 5397
GitHub推出云端IDE,名叫Codespace。它是在Azure上运行的基于浏览器的完整VS Code编辑器,可以像本地的IDE一样添加你喜爱的插件。这也意味着,你今后甚至可以用手机、平板也可以开发程序了
GitHub Codespaces 的配置
漫漫人生路
09-15 1314
CPU:4x Xeon @ 2.60 GHz 轻度开发够用,要是编译什么稍微复杂一点的项目,估计会CPU跑满。可以用桌面版的 VSCode 远程连接到 GitHub Codespaces 上。内存:8G,勉强够用。自用的Mac 16G都感觉不太够。系统 Ubuntu 20.04。
如何加入GitHub等代码托管平台,搜索和关注相关的开源项目
06-07
加入GitHub等代码托管平台,搜索和关注相关的开源项目可以通过以下步骤实现: 1. 注册一个GitHub账号。如果你还没有GitHub账号,可以前往GitHub官网,点击"Sign up"按钮,填写相关信息注册账号。 2. 搜索相关的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值