Cyberthreat.id – Peneliti Keamanan dari Trend Micro mengungkapkan bahwa fitur GitHub Codespaces yang dimaksudkan untuk membantu pengembangan dan kolaborasi kode dapat disalahgunakan untuk pengiriman malware.

Codespaces merupakan lingkungan pengembangan terintegrasi (IDE) berbasis cloud gratis yang memungkinkan pengembang untuk membuat, mengedit, dan menjalankan kode di browser mereka melalui lingkungan berbasis kontainer yang berjalan di mesin virtual (VM). Fitur ini tersedia untuk umum sejak November 2022 lalu.

Dikutip dari Security Week, salah satu fitur yang disediakan GitHub Codespaces memungkinkan pengembang berbagi port yang diteruskan dari VM, baik secara pribadi maupun publik, untuk tujuan kolaborasi waktu nyata. Port pribadi hanya dapat diakses melalui URL-nya, sedangkan port yang dibagikan secara publik dapat diakses oleh siapa saja yang memiliki URL, tanpa bentuk autentikasi apa pun.

“Fitur kolaborasi ini dapat disalahgunakan oleh pelaku ancaman dengan akun di GitHub untuk menghosting konten berbahaya, termasuk skrip, ransomware, dan jenis malware lainnya,” kata Trend Micro.

Selain itu, hambatan biaya dalam menciptakan lingkungan Codespaces sekarang lebih rendah dibandingkan dengan membuat akun penyedia layanan cloud (CSP) di mana Anda memerlukan kartu kredit untuk menjadi pelanggan, baik itu di Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), dan banyak lainnya.

Perusahaan keamanan siber itu mengatakan, bahwa mereka dapat membuat server HTTP berbasis Python pada port 8080, membagikan port yang diteruskan secara publik, dan menyadari bahwa URL dapat diakses oleh siapa saja, karena tidak menyertakan cookie untuk otentikasi. Port biasanya diteruskan di GitHub Codespaces melalui HTTP, tetapi pengembang dapat mengubah protokol ke HTTPS, yang secara otomatis menjadikan port tersebut pribadi.

Penyerang dapat membuat skrip sederhana untuk berulang kali membuat ruang kode dengan port yang terbuka secara publik dan menggunakannya untuk menghosting konten berbahaya pada dasarnya server web dengan direktori terbuka yang berisi malware dan menyetelnya untuk menghapus dirinya sendiri secara otomatis setelah URL telah diakses.

“Dengan menggunakan skrip semacam itu, penyerang dapat dengan mudah menyalahgunakan GitHub Codespaces dalam menyajikan konten berbahaya dengan kecepatan tinggi dengan mengekspos port secara publik di lingkungan codespace mereka,” kata Trend Micro.

Hal tersebut terjadi karena setiap Codespaces yang dibuat memiliki pengidentifikasi unik, subdomain yang terkait juga unik. Hal ini memberikan cukup ruang bagi penyerang untuk membuat contoh berbeda dari direktori terbuka. Hingga kini tidak ada bukti bahwa teknik ini telah disalahgunakan untuk tujuan jahat, tetapi mencatat bahwa pelaku ancaman diketahui menyalahgunakan layanan dan platform cloud gratis dalam kampanye berbahaya.

“Dalam skenario yang menyalahgunakan ini, penyerang dapat memanipulasi port yang dibagikan secara publik untuk menyusup dan menyebarkan konten berbahaya di lingkungan korban karena domain yang terkait dengan port yang terbuka itu unik dan kemungkinan tidak pernah ditandai oleh alat keamanan,” Trend Mikro menyimpulkan.

Untuk mengurangi risiko, pengembang disarankan untuk hanya menggunakan kode yang dapat mereka percayai, untuk memastikan mereka hanya menggunakan gambar kontainer yang dikenali dan terpelihara dengan baik, untuk mengamankan akun GitHub mereka dengan kata sandi yang kuat dan dengan autentikasi dua faktor (2FA), dan untuk ikuti praktik terbaik untuk menggunakan GitHub Codespaces.