黑客可以使用 GitHub Codespaces 来托管和传播恶意软件

研究人员已经展示了威胁行为者如何滥用 GitHub Codespaces 的“端口转发”功能来托管和分发恶意软件和恶意脚本。

GitHub Codespaces 允许开发人员在虚拟化容器中部署云托管的 IDE 平台，以直接在 Web 浏览器中编写、编辑和测试/运行代码。

自从 2022 年 11 月广泛可用以来，GitHub Codespaces 已成为开发人员的热门选择，他们喜欢它的预配置、基于容器的环境配备了项目所需的所有必要工具和依赖项。

使用 GitHub Codespaces 作为恶意软件服务器

在 Trend Micro 的一份新报告中，研究人员展示了如何轻松地将 GitHub Codespaces 配置为充当网络服务器来分发恶意内容，同时可能避免检测到来自 Microsoft 的流量。

GitHub Codespaces 允许开发人员将 TCP 端口转发给公众，以便外部用户可以测试或查看应用程序。

在 Codespace VM 中转发端口时，GitHub 功能将生成一个 URL 以访问在该端口上运行的应用程序，该端口可以配置为私有或公共。

私有端口转发需要令牌或 cookie 形式的身份验证才能访问 URL。但是，知道 URL 的任何人都可以访问公共端口而无需身份验证。

此 GitHub 功能为开发人员提供了代码演示的灵活性，但趋势科技表示，如今的攻击者可以轻松滥用它在平台上托管恶意软件。

理论上，攻击者可以运行一个简单的 Python 网络服务器，将恶意脚本或恶意软件上传到他们的代码空间，在他们的虚拟机上打开一个网络服务器端口，并为其分配“公共”可见性。

生成的 URL 然后可用于访问托管文件，无论是用于网络钓鱼活动还是托管由其他恶意软件下载的恶意可执行文件。

这正是威胁行为者滥用其他值得信赖的服务（例如 Google Cloud、Amazon AWS 和 Microsoft Azure）进行恶意软件分发活动的方式。

“为了验证我们对威胁建模滥用场景的假设，我们在端口 8080 上运行了一个基于 Python 的 HTTP 服务器，转发并公开该端口，”Trend Micro 报告中写道。

“在此过程中，我们很容易地找到了 URL 和缺少用于身份验证的 cookie。”

分析师表示，虽然 Codespaces 端口转发系统默认使用 HTTP，但开发人员可以将其设置为 HTTPS，从而增加 URL 的安全性。

由于 GitHub 是一个受信任的空间，防病毒工具不太可能发出警报，因此威胁行为者可以以最小的成本逃避检测。

Trend Micro 分析师还探索了在 GitHub Codespaces 中滥用 Dev Containers 以提高其恶意软件分发操作的效率。

GitHub Codespaces 中的“开发容器”是一个预配置的容器，其中包含特定项目所需的所有依赖项和工具。开发人员可以使用它进行快速部署、与他人共享或通过 VCS 连接。

攻击者可以使用脚本转发端口、运行 Python HTTP 服务器并在其代码空间内下载恶意文件。

接下来，将端口的可见性设置为公开，这会创建一个带有开放目录的网络服务器，该目录向目标提供恶意文件。

Trend Micro 为此创建了一个概念验证 (PoC)，在删除 Web 服务器之前访问 URL 后使用 100 秒的延迟。

BleepingComputer 能够在不到 10 分钟的时间内使用 Codespaces 复制“恶意”网络服务器的创建，而该功能的经验为零。

“使用此类脚本，攻击者可以通过在其代码空间环境中公开端口，轻松滥用 GitHub 代码空间来快速提供恶意内容。由于每个创建的代码空间都有一个唯一的标识符，因此关联的子域也是唯一的，”解释说趋势科技在报告中。

“这为攻击者提供了足够的空间来创建打开目录的不同实例。”

GitHub 的政策是不活动的代码空间会在 30 天后自动删除，因此攻击者可以在整个月内使用相同的 URL。

虽然目前还没有已知的 GitHub Codespaces 滥用情况，但该报告强调了一种现实的可能性，因为威胁行为者通常更喜欢以“免费使用”的平台为目标，这些平台也受到安全产品的信任。

BleepingComputer 已联系 GitHub 对趋势科技的报告发表评论，但我们仍在等待回复。

1/18 更新 - GitHub 发言人向 BleepingComputer 发送了以下关于上述内容的评论：

GitHub 致力于调查报告的安全问题。我们知道此报告并计划向用户添加提示以验证他们在连接到代码空间时是否信任所有者。

我们建议 GitHub Codespaces 的用户遵循我们的指南，以维护安全并将其开发环境的风险降至最低。