Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers abusam do recurso GitHub Codespaces para hospedar e entregar malware

Os pesquisadores da Trend Micro demonstraram recentemente que malware e scripts maliciosos podem ser hospedados e distribuídos dentro de Espaços de código GitHub por agentes mal-intencionados através do uso da funcionalidade de encaminhamento de porta.

GitHub Codespaces permite que os desenvolvedores configurem rapidamente um espaço de trabalho e comecem a codificar diretamente em minutos em um navegador da web, sem precisar se preocupar com instalação, configuração e dependências.

Isso torna muito mais fácil e rápido iniciar um projeto e também reduz a necessidade de os desenvolvedores alternarem entre diferentes ambientes de desenvolvimento.

Servidor de malware hospedado em GitHub Codespaces

GitHub Codespaces fornecem aos desenvolvedores ambientes de desenvolvimento hospedados na nuvem que são facilmente acessíveis e podem ser configurados rapidamente.

Isso os torna um alvo atraente para atores mal-intencionados, que podem us√°-los para configurar rapidamente servidores web maliciosos, que podem ser usados ‚Äč‚Äčpara distribuir malware ou outro conte√ļdo malicioso sem detec√ß√£o.

Neste cenário, pesquisadores mostraram que ao configurar um Codespace para atuar como um servidor web, um invasor poderia usá-lo para fornecer arquivos ou links maliciosos que seriam difíceis de serem detectados pelos sistemas de segurança, porque o tráfego pareceria vir de uma fonte legítima.

GitHub Codespaces permite que os desenvolvedores criem e gerenciem ambientes de desenvolvimento na nuvem diretamente da plataforma GitHub. Um dos principais recursos do Codespaces √© a capacidade dos desenvolvedores encaminharem portas TCP para a Internet p√ļblica.

Isso significa que os desenvolvedores podem disponibilizar seus aplicativos em execu√ß√£o no Codespace para usu√°rios externos, encaminhando uma porta espec√≠fica do Codespace para a Internet p√ļblica.

Isso √© √ļtil para configurar um ambiente para testar c√≥digo, bem como para tornar os aplicativos acess√≠veis a outras pessoas. Ao configurar a porta como privada, a URL pode ser compartilhada com indiv√≠duos espec√≠ficos, enquanto as portas p√ļblicas ficam acess√≠veis a qualquer pessoa que tenha a URL.

N√≥s recomendamos:  Lan√ßado Garmin Forerunner 945 LTE e Garmin Forerunner 55 com GPS integrado

A principal diferen√ßa entre um port forward privado e um p√ļblico √© a seguran√ßa fornecida pelo requisito de autentica√ß√£o. Um encaminhamento de porta privado √© muito mais seguro, pois limita o acesso apenas √†queles que possuem o token ou cookies, enquanto um encaminhamento de porta p√ļblico est√° aberto a qualquer pessoa que conhe√ßa a URL.

A seguir est√£o as a√ß√Ķes poss√≠veis que um invasor poderia realizar em teoria:-

  • Execute um servidor web Python simples
  • Fa√ßa upload de scripts maliciosos ou malware para seu Codespace
  • Abra uma porta de servidor web em sua VM
  • Atribua-lhe visibilidade ‚Äúp√ļblica‚ÄĚ

Os desenvolvedores têm a opção de definir o sistema de encaminhamento de porta Codespaces para HTTPS em vez de HTTP por padrão. Isso criará a ilusão de que o URL é seguro em relação a hackers.

A natureza segura do GitHub permite que os agentes de ameaças evitem a detecção a um custo mínimo, uma vez que as ferramentas antivírus têm menos probabilidade de disparar alarmes, já que o GitHub é um espaço confiável.

Aumentando a intensidade do ataque

Tamb√©m √© poss√≠vel que os analistas da Trend Micro aprimorem suas opera√ß√Ķes de distribui√ß√£o de malware abusando dos Dev Containers nos Codespaces do GitHub.

Esta ferramenta está disponível para desenvolvedores para implantação rápida, compartilhamento com outras pessoas e conexão a um sistema VCS. Há uma série de coisas que um invasor pode fazer usando um script, incluindo o seguinte:-

  • Encaminhar uma porta
  • Execute um servidor HTTP Python
  • Baixe arquivos maliciosos dentro de seu Codespace

Agora, um servidor web com um diret√≥rio aberto contendo arquivos maliciosos √© criado quando a visibilidade da porta √© definida como p√ļblica.

Um invasor pode usar a mesma URL durante um mês inteiro porque a política do GitHub é excluir automaticamente codespaces inativos após 30 dias. No entanto, em resposta a relatos de vulnerabilidades de segurança, o GitHub compromete-se a investigá-las.

N√≥s recomendamos:  Agora, os podcasts est√£o ao vivo no Google Play Music e lan√ßados para usu√°rios do Android, em breve para iOS

A empresa está ciente deste relatório e planeja adicionar um aviso aos usuários ao se conectarem a um codespace solicitando que confirmem que confiam no proprietário.

Recomenda√ß√Ķes

A seguir, mencionamos algumas práticas recomendadas de segurança que as equipes de TI e segurança podem implementar para evitar que ameaças futuras abusem desta plataforma:-

  • Sempre que poss√≠vel, use fontes de c√≥digo confi√°veis, como extens√Ķes como extens√Ķes VSCode e reposit√≥rios GitHub.
  • Para que os desenvolvedores trabalhem adequadamente com c√≥digo n√£o confi√°vel, eles devem estar cientes do reposit√≥rio em que est√£o trabalhando e ter cuidado ao faz√™-lo.
  • A configura√ß√£o do Devcontainer √© baseada no uso de imagens de cont√™iner, que devem ser reconhecidas e mantidas de acordo com os requisitos.
  • Para GitHub, voc√™ deve sempre usar senhas exclusivas e fortes.
  • Adicionar autentica√ß√£o de dois fatores √† sua conta √© uma √≥tima maneira de aumentar sua seguran√ßa.
  • Para evitar vazamentos de credenciais, √© necess√°rio evitar o comprometimento p√ļblico de segredos e credenciais.