Hackers Can Abuse Legitimate GitHub Codespaces Feature to Deliver Malware
2023/01/17 TheHackerNews — 脅威アクターたちが、GitHub Codespaces の正規の機能を悪用して、被害者のシステムへマルウェアを配信することが可能であるという、新たな研究の結果が明らかになった。GitHub Codespaces とは、クラウドベースのカスタマイズ可能な開発環境のことである。それを利用するユーザーは、Web ブラウザや Visual Studio Code との統合を介して、指定したコードベースのデバッグ/メンテナンス/変更のコミットを実行できる。また、ポート・フォワーディング機能により、コードスペース内の特定のポートで動作する Web アプリケーションに、ローカルマシンのブラウザから直接にアクセスし、テスト/デバッグを行うことも可能だ。
GitHub のドキュメントでは、「ユーザーによる設定が可能な項目として、ポートを手動で転送/転送したポートへのラベル設定/転送したポートの組織メンバーとの共有/転送したポートの公開/転送したポートの Codespaces への追加などがある」と説明されている。
ここで重要なのは、転送されたポートを公開すると、その URL/ポート番号を知っている人物であれば、認証なしで実行中のアプリケーションを閲覧できるという点だ。
さらに、GitHub Codespaces は、ポート転送に HTTP を使用している。公開されているポートが HTTPS を使用するように更新された場合や、削除後に再追加された場合などに、ポートの可視性が自動的にプライベートに変更されてしまう。
サイバーセキュリティ企業の Trend Micro は、このような公開された転送ポートを悪用して、GitHub アカウントを使用した不正なファイル・サーバの作成が可能なことを発見した。
研究者の Nitesh Surana と Magno Logan は、「こうした悪用された環境では、悪意のコンテンツ (スクリプト/マルウェア/ランサムウェアなど) を提供しても、悪意や疑いのあるものとしてフラグが立てられず、こうしたイベントの良性/偽陽性の判断が困難になる」と述べている。
Trend Micro が実証した、Proof-of-Concept (PoC) 攻撃で可能だったのは、Codespaces の作成/攻撃者が管理するドメインからのマルウェア・ダウンロード/転送されたポートの可視性のパブリックへの変更などである。したがって、このアプリケーションを変質させ、不正なペイロードをホストする Web サーバにできることが実証された。
さらに厄介なのは、公開されたポートに関連する、それぞれの Codespaces ドメインは一意であり、悪意のドメインとしてセキュリティ・ツールがフラグを立てる可能性が低いため、この方法を悪用したマルウェアの展開が容易な点である。
研究者たちは、「このようなスクリプトを使用すると、攻撃者は GitHub Codespaces を悪用して、Codespaces 環境上でポートを公開することで、悪意のコンテンツを迅速に展開できるようになる」と説明している。
この技術は、まだ実戦では確認されていない。ただし、今回の発見により、クラウド・プラットフォームを武器化する脅威アクターたちが、さまざまな不正な活動を行う可能性が想起される。
研究者たちは、「クラウドサービスは、正規ユーザーと攻撃者の双方にメリットをもたらす。脅威アクターは、クラウドサービス・プロバイダが提供するリソースを利用することで、正規ユーザーに提供される機能も利用できるようになる」と結論付けている。
2022年は、GitHub や PyPI からの、悪意のパッケージの配布が明らかとなり、また、大きな問題として認識された年でした。しかし、こうした開発環境の悪用は、それだけには留まらないようです。このところ、CI/CD サービスの CircleCI にインシデントが多発し 、また、Microsoft の VSCode でも問題が指摘されています。今年も、新たな攻撃領域が話題になる年になりそうです。
IoT OT Security News 
You must be logged in to post a comment.