Хакеры могут использовать GitHub Codespaces для размещения и доставки вредоносных программ

Хакеры могут использовать GitHub Codespaces для размещения и доставки вредоносных программ. Фото: СС0

GitHub Codespaces позволяет разработчикам развертывать облачные платформы IDE в виртуализированных контейнерах для написания, редактирования, тестирования или запуска кода непосредственно в веб-браузере.

С тех пор как GitHub Codespaces стал широко доступен в ноябре 2022 года, он стал популярным среди разработчиков.

В новом отчете Trend Micro исследователи демонстрируют, как можно легко настроить GitHub Codespaces для работы в качестве веб-сервера для распространения вредоносного контента, потенциально избегая обнаружения, поскольку трафик исходит от Microsoft.

GitHub Codespaces позволяет разработчикам перенаправлять порты TCP для общего доступа, чтобы внешние пользователи могли тестировать или просматривать приложения.

При переадресации портов на виртуальной машине Codespace функция GitHub создаст URL-адрес для доступа к приложению, работающему на этом порту, который можно настроить как частный или общедоступный.

Переадресация частного порта требует аутентификации в виде токена или файлов cookie для доступа к URL-адресу. Однако общедоступный порт доступен любому, кто знает URL-адрес, без аутентификации.

Эта функция GitHub дает разработчикам гибкость в демонстрации кода, но Trend Micro заявляет, что сегодня злоумышленники могут легко использовать ее для размещения вредоносного ПО на платформе.

Теоретически злоумышленник может запустить простой веб-сервер Python, загрузить вредоносные скрипты или вредоносные программы в свое пространство кода, открыть порт веб-сервера на своей виртуальной машине и назначить ему «общедоступную» видимость.

Затем сгенерированный URL-адрес можно использовать для доступа к размещенным файлам, будь то для фишинговых кампаний или для размещения вредоносных исполняемых файлов, загруженных другими вредоносными программами.

Именно так злоумышленники злоупотребляют другими надежными сервисами, такими как Google Cloud, Amazon AWS и Microsoft Azure, для кампаний по распространению вредоносных программ.

Из сообщения компании:

«Чтобы проверить нашу гипотезу о сценарии злоупотребления моделированием угроз, мы запустили HTTP-сервер на основе Python на порту 8080, перенаправили порт и сделали его общедоступным. В процессе мы легко обнаружили URL-адрес и отсутствие файлов cookie для аутентификации».

Аналитики говорят, что, хотя HTTP по умолчанию используется в системе переадресации портов Codespaces, разработчики могут установить его на HTTPS, увеличивая иллюзию безопасности для URL-адреса.

Поскольку GitHub является надежным пространством, антивирусные инструменты с меньшей вероятностью будут поднимать тревогу, чтобы злоумышленники могли избежать обнаружения с минимальными затратами.

Аналитики Trend Micro также изучают возможность злоупотребления контейнерами разработки в GitHub Codespaces, чтобы повысить эффективность операций по распространению вредоносных программ.

«Контейнер разработки» в GitHub Codespaces — это предварительно настроенный контейнер, содержащий все необходимые зависимости и инструменты для конкретного проекта. Разработчики могут использовать его для быстрого развертывания, делиться им с другими или подключаться через VCS.

Злоумышленник может использовать скрипт для переадресации порта, запуска HTTP-сервера Python и загрузки вредоносных файлов внутри своего пространства кода.

Затем видимость порта устанавливается общедоступной, что создает веб-сервер с открытым каталогом, который обслуживает вредоносные файлы для целей.

Trend Micro создала для этого доказательство концепции (PoC), используя 100-секундную задержку после доступа к URL-адресу перед удалением веб-сервера.

Из сообщения компании:

«Используя такие скрипты, злоумышленники могут легко злоупотреблять GitHub Codespaces, быстро распространяя вредоносный контент, публично открывая порты в своих средах codespace. Поскольку каждое созданное пространство Codespace имеет уникальный идентификатор, связанный с ним субдомен также уникален. Это дает злоумышленнику достаточно оснований для создания различных экземпляров открытых каталогов».

Политика GitHub заключается в том, что неактивные кодовые пространства автоматически удаляются через 30 дней , поэтому злоумышленники могут использовать один и тот же URL-адрес в течение всего месяца.

Хотя в настоящее время нет известных случаев злоупотребления GitHub Codespaces, в отчете подчеркивается реальная возможность, поскольку злоумышленники обычно предпочитают нацеливаться на «бесплатные» платформы, которым также доверяют продукты безопасности.

Представитель GitHub прокомментировал отчет Trend Micro.

 Из сообщения GitHub:

«GitHub стремится расследовать сообщения о проблемах безопасности. Нам известно об этом отчете, и мы планируем добавить пользователям запрос на подтверждение того, что они доверяют владельцу при подключении к кодовому пространству. Мы рекомендуем пользователям GitHub Codespaces следовать нашим рекомендациям по обеспечению безопасности и минимизации рисков, связанных с их средой разработки».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Исследователи выпустят PoC-эксплойт для критической ошибки Zoho RCE.
• Avast выпустила бесплатный дешифратор программ-вымогателей BianLian.
• Хакеры украли сеанс единого входа инженера с поддержкой 2FA и взломали CircleCI.