Une fonctionnalité GitHub récemment introduite peut être utilisée de manière abusive pour héberger et distribuer des logiciels malveillants (s’ouvre dans un nouvel onglet) parmi la communauté des développeurs de logiciels, ont affirmé des experts.
Les chercheurs en cybersécurité de Trend Micro ont publié un rapport détaillant comment GitHub Codespaces peut être abusé pour fournir des scripts malveillants à des développeurs de logiciels sans méfiance.
GitHub décrit Codespaces, lancé en novembre 2022 comme « un environnement de développement instantané basé sur le cloud qui utilise un conteneur pour vous fournir des langages, des outils et des utilitaires communs pour le développement ». En d’autres termes, les développeurs peuvent écrire et tester du code directement dans le navigateur.
Problèmes de redirection de port TCP
Le problème réside dans le fait que Codespaces autorise le transfert de port TCP, une fonctionnalité bien intentionnée permettant aux développeurs de partager leur travail avec le public, probablement à des fins de test. Quiconque connaît l’URL, peut accéder à l’œuvre. Ainsi, en théorie, un acteur malveillant peut exécuter un serveur Web Python, télécharger des logiciels malveillants sur le Codespace, ouvrir un port de serveur Web et définir la visibilité comme « publique ».
« Pour valider notre hypothèse de scénario d’abus de modélisation des menaces, nous avons exécuté un serveur HTTP basé sur Python sur le port 8080, transmis et exposé publiquement le port », a déclaré Trend Micro dans son rapport. « Dans le processus, nous avons facilement trouvé l’URL et l’absence de cookies pour l’authentification. »
De plus, la redirection de port utilise HTTP par défaut, mais les pirates peuvent facilement le définir sur HTTPS pour renforcer le faux sentiment de sécurité. Ajoutant l’insulte à l’injure, le fait que GitHub est considéré comme un environnement de confiance, le trafic provient de Microsoft et, en tant que tel, ne déclenchera probablement aucune alarme antivirus.
Mais ce n’est pas tout. Une fonctionnalité Codespaces appelée « Dev Containers » peut également être utilisée de manière abusive pour distribuer le malware de manière plus transparente. Cette fonctionnalité permet aux développeurs de créer des conteneurs préconfigurés contenant toutes les dépendances nécessaires pour un projet.
BipOrdinateur a déclaré avoir réussi à créer un serveur Web malveillant avec Codespaces « en moins de 10 minutes, sans aucune expérience avec la fonctionnalité ».
« En utilisant de tels scripts, les attaquants peuvent facilement abuser de GitHub Codespaces pour diffuser rapidement du contenu malveillant en exposant publiquement les ports de leurs environnements de codespace. Étant donné que chaque Codespace créé a un identifiant unique, le sous-domaine associé est également unique », a conclu Trend Micro. « Cela donne à l’attaquant suffisamment de terrain pour créer différentes instances de répertoires ouverts. »
GitHub est actuellement silencieux à ce sujet sur ses chaînes.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)