Hackers encontram falha no GitHub para espalhar malware; Veja como se proteger

Recentemente, a Trend Micro, empresa especializada em testes de cybersegurança, realizou uma Prova de conceito (POC) de ataque com o sistema de contêineres do GitHub e encontrou uma falha perigosa para ataques de malwares.

O Codespaces do GitHub é um ambiente de desenvolvimento integrado (IDE) para a criação de ambientes virtualizados, possibilitando a escrita, edição e testagem de códigos em nuvem, acessando diretamente do navegador.

Com a praticidade de uso da ferramenta, bem como o seu cadastro gratuito, hackers encontraram uma forma de espalhar malwares por links da ferramenta.

Na prática, o Codespaces funciona com compartilhamento público e privado de portas. Ao compartilhar conteúdos privados, somente entre pessoas autorizadas a utilizarem aquele contêiner do Codespace, os cookies validam a URL, sem problemas. Porém, a brecha de segurança está no compartilhamento de URLs públicas. 

No teste da Trend Micro, a ferramenta pode funcionar como um servidor web para distribuição de malwares. Tudo o que o hacker precisa é configurar um servidor simples para abrigar scripts maliciosos, abrir as portas de seu Codespace publicamente e enviar o link para os alvos de ataque. 

A URL desse contêiner pode, inclusive, usar o protocolo HTTPS e não chamar atenção sobre o seu conteúdo. Por ser uma URL pública do sistema, sem verificação de cookies, a ausência de autenticação facilita a incidência do golpe.

Como evitar esse golpe?

Infelizmente, o uso legítimo da plataforma para hospedar códigos maliciosos dificulta a ação do GitHub para localizar e retirar essas informações do ar, bem como dificulta a identificação por parte dos usuários.

O uso de links em plataformas oficiais para enganar usuários não é novidade. Softwares como Azure, Google Cloud e Amazon Web Services também já foram usados para ataques similares.

Com a facilidade de não precisar simular um domínio confiável, o uso indevido da plataforma abre precedentes para a criação automatizada de diversas contas para esse fim.

A GitHub já está ciente dos resultados obtidos pela Trend Micro e ressalta as boas práticas de segurança no Codespace, presente na documentação da plataforma. Além disso, vale relembrar a importância de não clicar em links enviados por e-mails desconhecidos e redobrar a atenção com links públicos de fonte não verificadas.

Vá mais longe com a Studio Visual

Sua empresa precisa de especialistas em tecnologia? Há mais de 21 anos, a Studio Visual atua no mercado de soluções digitais, oferecendo serviços em diferentes frentes, como Desenvolvimento, UX e UI, SEO, Content Marketing e muito mais. 

Saiba como podemos ajudar a sua empresa a alcançar melhores resultados. Converse com um de nossos especialistas!

This post was last modified on %s = human-readable time difference

Compartilhar

Artigo Recente

Google lança core update de novembro, entenda o que mudou

O Google começou a implementar sua mais recente atualização de algoritmo: o core update de novembro de 2024. De acordo…

12 de novembro de 2024

WordPress atinge a marca de 1000 temas em bloco em seu repositório

O WordPress Themes Repository agora conta com 1000 temas em bloco em seu repositório. No total, ele possui hoje 12.000…

6 de novembro de 2024

GitHub Copilot agora conta com a base de conhecimento do Stack Overflow

Em uma parceria, o Stack Overflow lançou uma extensão para o GitHub Copilot, permitindo que desenvolvedores tenham acesso direto a…

30 de outubro de 2024

Google explica critérios para escolha da URL canônica

John Mueller, do Google, recentemente respondeu a uma pergunta no LinkedIn sobre como a plataforma escolhe URLs canônicas, oferecendo dicas…

28 de outubro de 2024

2FA e verificações agora são obrigatórias em novos plugins no WordPress

O líder de revisão de segurança, Chris Christoff, anunciou duas novas mudanças para o diretório de plugins do WordPress, válidas…

7 de outubro de 2024

WP Engine é proibida de usar recursos do WordPress

A disputa entre WordPress e WP Engine ganhou novos contornos, resultando em ordens legais emitidas por ambas as partes. Uma…

3 de outubro de 2024