Pesquisadores descobrem que um recurso legítimo no GitHub Codespaces pode ser usado por cibercriminosos para entregar malware aos sistemas das vítimas.
GitHub Codespaces pode ser usado para entregar malware
O GitHub Codespaces é um ambiente de desenvolvimento configurável. Ele é baseado em nuvem e permite aos usuários depurar, manter e confirmar alterações em uma determinada base de código a partir de um navegador da Web ou por meio de uma integração no Visual Studio Code.
O Codespaces também vem com um recurso de encaminhamento de porta que possibilita acessar um aplicativo da Web em execução em uma porta específica dentro do espaço de código diretamente do navegador em uma máquina local para fins de teste e depuração. No entanto, qualquer porta encaminhada que se torne pública também permitirá que qualquer parte com conhecimento da URL e do número da porta exiba o aplicativo em execução sem qualquer autenticação.
GitHub Codespaces usa HTTP para encaminhamento de porta. Se a porta publicamente visível for atualizada para usar HTTPS ou removida e adicionada novamente, a visibilidade da porta será automaticamente alterada para privada.
Exploração dessas portas
A empresa de segurança cibernética Trend Micro descobriu que essas portas encaminhadas publicamente compartilhadas podem ser exploradas para criar um servidor de arquivos maliciosos usando uma conta do GitHub. De acordo com Nitesh Surana e Magno Logan, pesquisadores da empresa:
No processo, esses ambientes abusados não serão sinalizados como maliciosos ou suspeitos, mesmo que veiculem conteúdo malicioso (como scripts, malware e ransomware, entre outros), e as organizações podem considerar esses eventos como benignos ou falsos positivos.
Em uma exploração de prova de conceito (PoC) demonstrada pela Trend Micro, um agente de ameaça pode criar um espaço de código e baixar malware de um domínio controlado pelo invasor para o ambiente e definir a visibilidade da porta encaminhada para público. O invasor transformaria o aplicativo para atuar como um servidor da Web que hospeda cargas úteis não autorizadas.
Além disso, o adversário pode aumentar esse método para implantar malware e comprometer o ambiente da vítima, pois cada domínio de espaço de código associado à porta exposta é único e improvável de ser sinalizado por ferramentas de segurança como um domínio mal-intencionado.
Embora isso ainda não tenha sido observado na natureza, as descobertas são um lembrete de como os agentes de ameaças podem armar as plataformas de nuvem em seu benefício e realizar uma série de atividades ilícitas ao seu favor.