Generalmente disponibile dal novembre 2022, dopo un periodo di anteprima privata, GitHub Codespaces è un ambiente di sviluppo integrato (IDE) gratuito basato su cloud che consente agli sviluppatori di creare, modificare ed eseguire codice nei loro browser tramite un ambiente basato su container che viene eseguito in una macchina virtuale (VM). Una delle funzionalità offerte da GitHub Codespaces consente agli sviluppatori di condividere le porte inoltrate dalla macchina virtuale, sia privatamente che pubblicamente, per scopi di collaborazione in tempo reale. Alla porta privata si può accedere solo tramite il suo URL, mentre alle porte condivise pubblicamente può accedere chiunque abbia l’URL, senza alcuna forma di autenticazione. Secondo Trend Micro, questa funzione di collaborazione può essere sfruttata dagli attori delle minacce con account su GitHub per ospitare contenuti dannosi, tra cui script, ransomware e altri tipi di malware.
“Inoltre, le barriere dei costi per la creazione di un ambiente Codespaces sono ora più basse rispetto alla creazione di un account di un provider di servizi cloud (CSP) in cui è necessaria una carta di credito per diventare un abbonato, che si tratti di Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) e molti altri”, osserva Trend Micro. La società di cybersicurezza afferma di essere riuscita a creare un server HTTP basato su Python sulla porta 8080, di aver condiviso pubblicamente la porta inoltrata e di aver notato che l’URL poteva essere accessibile a chiunque, poiché non includeva cookie per l’autenticazione. Le porte vengono solitamente inoltrate su GitHub Codespaces tramite HTTP, ma gli sviluppatori possono cambiare il protocollo in HTTPS, che rende automaticamente la porta privata. Secondo Trend Micro, un aggressore potrebbe creare un semplice script per creare ripetutamente un codespace con una porta esposta pubblicamente e utilizzarlo per ospitare contenuti dannosi – essenzialmente un server web con una directory aperta contenente malware – e impostarlo per cancellarsi automaticamente dopo l’accesso all’URL.
“Utilizzando tali script, gli aggressori possono facilmente abusare dei Codespace di GitHub per servire contenuti dannosi a una velocità rapida, esponendo pubblicamente le porte sui loro ambienti di codespace. Poiché ogni codespace creato ha un identificatore unico, anche il sottodominio associato è unico. Questo dà all’aggressore un terreno sufficiente per creare diverse istanze di directory aperte”, afferma Trend Micro. L’azienda di cybersicurezza afferma che non ci sono prove che questa tecnica sia stata abusata per scopi nefasti, ma osserva che gli attori delle minacce sono noti per abusare di servizi e piattaforme cloud gratuite in campagne dannose. “In uno scenario che abusa di questa [tecnica], l’attaccante può manipolare la porta condivisa pubblicamente per infiltrarsi e distribuire contenuti dannosi nell’ambiente della vittima, poiché il dominio associato alla porta esposta è unico e probabilmente non è mai stato segnalato dagli strumenti di sicurezza”, conclude Trend Micro. Per ridurre il rischio, si consiglia agli sviluppatori di utilizzare solo codice di cui ci si può fidare, di assicurarsi di utilizzare solo immagini di container riconosciute e ben mantenute, di proteggere i propri account GitHub con password forti e con l’autenticazione a due fattori (2FA) e di seguire le migliori pratiche per l’utilizzo di GitHub Codespaces.
