Se puede abusar de una función de GitHub recientemente introducida para alojar y distribuir malware (se abre en una pestaña nueva) entre la comunidad de desarrolladores de software, afirman los expertos.
Los investigadores de seguridad cibernética de Trend Micro han publicado un informe que detalla cómo se puede abusar de los Codespaces de GitHub para entregar scripts maliciosos a desarrolladores de software desprevenidos.
GitHub describe Codespaces, lanzado en noviembre de 2022, como «un entorno de desarrollo instantáneo basado en la nube que utiliza un contenedor para brindarle lenguajes, herramientas y utilidades comunes para el desarrollo». En otras palabras, los desarrolladores pueden escribir y probar código directamente en el navegador.
Problemas de reenvío de puertos TCP
El problema radica en el hecho de que Codespaces permite el reenvío de puertos TCP, una característica bien intencionada que permite a los desarrolladores compartir su trabajo con el público, probablemente para realizar pruebas. Quien conoce la URL, puede acceder a la obra. Entonces, en teoría, un actor de amenazas puede ejecutar un servidor web Python, cargar malware en Codespace, abrir un puerto de servidor web y establecer la visibilidad como «pública».
«Para validar nuestra hipótesis de escenario de abuso de modelado de amenazas, ejecutamos un servidor HTTP basado en Python en el puerto 8080, reenviamos y expusimos el puerto públicamente», dijo Trend Micro en su informe. «En el proceso, encontramos fácilmente la URL y la ausencia de cookies para la autenticación».
Además, el reenvío de puertos usa HTTP de forma predeterminada, pero los piratas informáticos pueden configurarlo fácilmente en HTTPS para reforzar la falsa sensación de seguridad. Para colmo de males, el hecho de que GitHub se considera un entorno confiable, el tráfico proviene de Microsoft y, como tal, es probable que no active ninguna alarma antivirus.
Pero eso no es todo. También se puede abusar de una característica de Codespaces llamada «Dev Containers» para distribuir el malware de manera más fluida. Esta función permite a los desarrolladores crear contenedores preconfigurados que contienen todas las dependencias necesarias para un proyecto.
BleepingEquipo dijo que logró crear un servidor web malicioso con Codespaces “en menos de 10 minutos, sin experiencia con la función”.
«Al usar estos scripts, los atacantes pueden abusar fácilmente de los Codespaces de GitHub para servir contenido malicioso a un ritmo rápido al exponer los puertos públicamente en sus entornos de Codespace. Dado que cada Codespace creado tiene un identificador único, el subdominio asociado también es único», concluyó Trend Micro. «Esto le da al atacante suficiente terreno para crear diferentes instancias de directorios abiertos».
Actualmente, GitHub guarda silencio sobre el asunto en sus canales.
Vía: BleepingComputer (se abre en una pestaña nueva)