Abuso de codespaces do GitHub pode transformá-lo em centro de distribuição de malware

O GitHub Codespaces é um ambiente de desenvolvimento hospedado na nuvem que oferece contêineres pré-configurados otimizados para projetos de desenvolvimento. Ele permite que os desenvolvedores escrevam e editem o código e o executem diretamente em um navegador da web.

Foi lançado para o público em novembro do ano passado, e todas as contas pessoais no GitHub têm uma cota mensal para uso gratuito de GitHub Codespaces. A plataforma permite que os desenvolvedores compartilhem seu trabalho com usuários externos por meio do encaminhamento de porta TCP para fins de teste.

VEJA TAMBÉM: ProArch adquire empresa de proteção de dados Trum & Associates

Quando o encaminhamento de porta é usado dentro de um ambiente Codespace, o GitHub gera uma URL para acessar o aplicativo em execução nessa porta. O desenvolvedor pode decidir manter esta porta encaminhada pública ou privada.

Quando a postagem é mantida em sigilo, os usuários externos precisam se autenticar por meio de um token ou cookies para acessar a URL, no entanto, as portas públicas são acessíveis a todos e nenhuma autenticação é necessária.  Os pesquisadores conseguiram demonstrar que esse recurso pode ser abusado por invasores para hospedar conteúdo malicioso na plataforma.

Os pesquisadores demonstraram por meio de um PoC que é possível configurar o GitHub Codespaces como um servidor da Web e usá-lo para distribuir conteúdo malicioso.

VEJA TAMBÉM: Programa Casa Verde e Amarela: Ataque phishing sendo usado para roubo de dados

Um invasor pode executar um servidor da web Python simples, hospedar código malicioso ou malware em seu Codespace e expor a porta da web para visibilidade pública.  A URL gerada para acessar este repositório público pode ser usada para acessar o código malicioso sem a necessidade de qualquer autenticação. Assim, o malware pode ser baixado facilmente, sem levantar nenhum sinalizador de segurança.  Além disso, o uso de Dev Containers (ambientes de desenvolvimento completos) possibilita a distribuição de conteúdo malicioso com muito mais rapidez e eficiência. 

Os serviços públicos de hospedagem, como GitHub Codespaces, geralmente enfrentam o risco de abuso por parte de invasores com o objetivo de operar campanhas maliciosas. Vários invasores já estão usando métodos semelhantes para abusar de outros serviços públicos confiáveis ​​de hospedagem, como Microsoft Azure, Google Cloud e Amazon AWS para distribuição de malware. Portanto, desenvolvedores e especialistas em segurança em nuvem devem considerar os riscos associados a essas plataformas de hospedagem pública e tomar as medidas apropriadas para reduzir os riscos.