安全事务网站披露,趋势科技安全研究人员证实,攻击者可能滥用开发环境GitHub代码空间中的合法功能向受害者系统传递恶意软件。安全研究人员发现,用户可以通过将配置文件提交到存储库来自定义GitHub代码空间项目,这会为项目的所有用户创建可重复的代码空间配置,每个代码空间都在GitHub托管的虚拟机上运行。此外,CodeSpace支持端口转发,允许用户从本地浏览器访问和调试运行在特定端口上的Web应用程序。趋势科技安全研究人员指出,开发者可以在组织内或直接公开分享转发端口,任何知道网址和端口号的人都可以访问该公共端口,这意味着攻击者可以滥用这一特性来托管恶意内容并分享链接到这些资源在其攻击中。在帖子中,趋势科技表示,为了检验其关于威胁建模滥用的假设,它在端口8080上运行基于Python的HTTP服务器,转发并公开暴露该端口。在整个过程中,很容易发现URL并在没有cookie的情况下进行身份验证。GitHub代码空间通常使用HTTP端口转发,但开发人员可以根据需要将任何端口更改为HTTPS。一旦开发人员将公开可见的端口更新为HTTPS,该端口的可见性将自动变为私有,快速查看VirusTotal等威胁情报平台将显示该域没有恶意历史,从而防止下载恶意文件的可能性通过域性会大大降低。攻击者可以创建一个简单的脚本来自动创建一个带有暴露端口的代码空间,并用它来托管恶意内容。安全专家解释说,该过程涉及创建一个带有开放目录的Web服务器,该目录提供恶意文件并在下载100秒后将其删除。趋势科技强调,使用此类脚本,攻击者可以轻松滥用GitHub代码空间,通过在其代码空间环境中暴露端口来快速提供恶意内容。此外,由于每个代码空间都有一个唯一标识符,因此关联的子域也是唯一的。这为攻击者提供了足够的空间来创建打开目录的不同实例。好消息是,研究人员设计的攻击技术尚未用于野外攻击。文章来源:https://securityaffairs.com/140932/hacking/github-codespaces-attack-technique.html?
