Recentemente, a Trend Micro, empresa especializada em testes de cybersegurança, realizou uma Prova de conceito (POC) de ataque com o sistema de contêineres do GitHub e encontrou uma falha perigosa para ataques de malwares.
O Codespaces do GitHub é um ambiente de desenvolvimento integrado (IDE) para a criação de ambientes virtualizados, possibilitando a escrita, edição e testagem de códigos em nuvem, acessando diretamente do navegador.
Com a praticidade de uso da ferramenta, bem como o seu cadastro gratuito, hackers encontraram uma forma de espalhar malwares por links da ferramenta.
Na prática, o Codespaces funciona com compartilhamento público e privado de portas. Ao compartilhar conteúdos privados, somente entre pessoas autorizadas a utilizarem aquele contêiner do Codespace, os cookies validam a URL, sem problemas. Porém, a brecha de segurança está no compartilhamento de URLs públicas.
No teste da Trend Micro, a ferramenta pode funcionar como um servidor web para distribuição de malwares. Tudo o que o hacker precisa é configurar um servidor simples para abrigar scripts maliciosos, abrir as portas de seu Codespace publicamente e enviar o link para os alvos de ataque.
A URL desse contêiner pode, inclusive, usar o protocolo HTTPS e não chamar atenção sobre o seu conteúdo. Por ser uma URL pública do sistema, sem verificação de cookies, a ausência de autenticação facilita a incidência do golpe.
Infelizmente, o uso legítimo da plataforma para hospedar códigos maliciosos dificulta a ação do GitHub para localizar e retirar essas informações do ar, bem como dificulta a identificação por parte dos usuários.
O uso de links em plataformas oficiais para enganar usuários não é novidade. Softwares como Azure, Google Cloud e Amazon Web Services também já foram usados para ataques similares.
Com a facilidade de não precisar simular um domínio confiável, o uso indevido da plataforma abre precedentes para a criação automatizada de diversas contas para esse fim.
A GitHub já está ciente dos resultados obtidos pela Trend Micro e ressalta as boas práticas de segurança no Codespace, presente na documentação da plataforma. Além disso, vale relembrar a importância de não clicar em links enviados por e-mails desconhecidos e redobrar a atenção com links públicos de fonte não verificadas.
Sua empresa precisa de especialistas em tecnologia? Há mais de 21 anos, a Studio Visual atua no mercado de soluções digitais, oferecendo serviços em diferentes frentes, como Desenvolvimento, UX e UI, SEO, Content Marketing e muito mais.
Saiba como podemos ajudar a sua empresa a alcançar melhores resultados. Converse com um de nossos especialistas!
O TikTok está implementando novas medidas de transparência em relação à inteligência artificial (IA) geradora de conteúdo. Isso inclui a…
A Microsoft e a OpenAI decidiram criar um fundo de R$10 milhões (cerca de US$2 milhões) para conscientizar pessoas sobre…
O WordPress é uma plataforma altamente popular para criar e gerenciar sites e blogs. No entanto, uma parte fundamental para…
O X, plataforma anteriormente conhecida como Twitter, acaba de lançar uma nova funcionalidade que promete facilitar a vida dos usuários…
O TikTok está em fase de testes com uma nova iniciativa que coloca avatares criados por Inteligência Artificial em publicidades.…
A Meta anunciou uma série de novas ferramentas de publicidade durante um evento, incluindo busca aprimorada por criadores para campanhas…