GitHub Codespaces 可被滥用于托管和传播恶意软件

GitHub Codespaces 可使开发人员在虚拟化容器中部署托管在云上的IDE平台，在web浏览器中直接编写、编辑并测试/运行代码。自2022年11月推出以来，它在开发人员群体十分受欢迎，可用于预配置、基于容器的环境中，并配备项目所需的所有必要工具和依赖关系。

趋势科技在报告中指出，研究人员展示了如何可轻易将GitHub Codespaces 配置为web 服务器，传播恶意内容并避免对来自微软的流量的检测。GitHub Codespaces 可使开发人员将TCP端口转发给公众，因此外部用户可测试或查看应用程序。在Codespace VM中转发端口时，该特性将生成访问在该端口上运行的app的URL，端口可配置为非公开或公开。

非公开端口转发要求通过令牌或cookie的方式认证，以访问该URL。而任何人可访问公开端口而无需任何认证。该特性使得开发人员在代码演示方面具有灵活性，但研究人员指出当前攻击者可轻易滥用该特性托管恶意软件。

从理论上来讲，攻击者可运行简单的Python web服务器，将恶意脚本或恶意软件上传至Codespace，在虚拟机上打开web服务器端口并将其可见性分配为“公开”。生成的URL之后可用于访问这些托管文件，或用于钓鱼攻击或用于托管其它恶意软件下载的恶意可执行文件。而这正是攻击者滥用可信任服务如Google Cloud、Amazon AWS和微软Azure 传播恶意软件的方式。

报告指出，“为了验证我们对威胁建模滥用场景的假设，我们在端口8080上运行了一台基于Python的HTTP服务器，公开转发并暴露该端口。在此过程中，我们轻松发现了该URL以及认证无需cookie的情况。”

报告指出，虽然Codespaces端口转发系统默认使用HTTP，但开发人员可将其设置为HTTPS，从而增加了对URL安全性的错觉。由于GitHub是一个可信空间，反病毒工具不太可能发出警报，因此威胁行动者可以最小代价躲避检测。

分析人员还探索了滥用GitHub Codespaces 中的开发容器（Dev Containers）以更有效地传播恶意软件的情况。

GitHub Codespaces 中的“开发容器”是一个预配置容器，包含特定项目所需的所有必要依赖和工具。攻击者可通过该容器进行快速部署，和他人分享或者通过VCS进行连接。攻击者可使用脚本转发端口、运行Python HTTP服务器并在Codespace内下载恶意文件。之后将端口的可见性设为公开，从而创建具有开放目录的webserver，将恶意文件传播给目标。

报告创建了相关PoC，使用的是在URL访问后web服务器被删除之前的100秒延迟。BleepingComputer 复现了通过Codespaces创建“恶意”webserver的场景，耗时不超过10分钟且无需对该特性拥有任何经验。

报告指出，“通过这类脚本，攻击者可轻松滥用GitHub Codespaces 通过codespace环境中公开暴露的端口，快速传播恶意内容。由于所创建的每个Codespace都具有唯一标号，因此所关联的子域名也是唯一的。这就使得攻击者能够创建不同的开放目录实例。”

GitHub的策略是，不活跃的codespace 会在30天后删除，因此攻击者可在一个月的时间内使用相同的URL。虽然目前尚不存在针对GitHub Codespaces 的已知滥用情况，但报告强调了一种现实的可能性，因为威胁行动者一般偏向于选择同时被安全产品信任的“免费使用”平台。

GitHub回应称已注意到该报告，计划增加提示，提醒用户连接到codespace时确认是否信任该所有人。另外，建议用户根据使用指南维护开发环境安全并使风险最小化。

题图：Pexels License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~