Criminosos podem usar serviço do GitHub para distribuir malware

Pesquisadores em segurança digital da Trend Micro demonstraram como um sistema de contêineres para desenvolvimento de software do GitHub pode ser usado como plataforma de distribuição de malwares. O recurso, chamado Codespaces, foi lançado em novembro do ano passado, com o problema apontado garantindo que explorações ultrapassem até mesmo softwares de segurança, devido a sua origem legítima.

• Como funcionam segurança e usabilidade no desenvolvimento remoto de software?
• 6 linguagens de programação que favorecem o desenvolvimento de ambientes seguros

Oficialmente, a plataforma serve para facilitar a criação de ambientes de virtualização, com escrita, edição e testagem de códigos diretamente no navegador, a partir da nuvem. Na prova de conceito do ataque, porém, a tecnologia aparece servindo como um servidor web para distribuição de vírus e códigos maliciosos, a partir de URLs que permitem acesso a aplicações rodando através de uma determinada porta.

Do outro lado, bastaria ao criminoso configurar um servidor simples para abrigar scripts maliciosos ou malwares, abrindo as portas de seu Codespace publicamente e enviando o link para os alvos de ataque. A URL pode, inclusive, usar o protocolo HTTPS para passar uma falsa sensação de segurança, enquanto a ausência de autenticação faz com que a vítima caia diretamente em um eventual golpe.

Segundo a Trend Micro, o ataque seria amplamente eficaz já que o endereço usado na exploração é oficial, da plataforma de desenvolvimento, e não somente seria liberado por softwares de segurança como é um recurso amplamente conhecido por empresas e trabalhadores do setor. A aparência de confiabilidade é um acessório importante do golpe, que pode ser distribuído por e-mails de phishing ou mensagens em apps de comunicação ou redes sociais.

Golpes direcionados também podem ser realizados a partir deste método, com a prova de conceito da Trend Micro também incluindo uma instância que foi apagada um minuto e meio depois de acessada. Assim, criminosos seria capazes de cobrir os próprios rastros após uma contaminação, dificultando um trabalho de investigação ou acompanhamento de campanhas em andamento.

Caminho novo, mas conhecido

O uso de sistemas confiáveis como arma do cibercrime é conhecido e visto pelos próprios bandidos como uma boa forma de fazer vítimas. Enquanto o sistema de contêineres do GitHub é o tema da prova de conceito da Trend Micro, esquemas diferentes também já foram vistos usando a infraestrutura de outras plataformas do ramo, como Azure, também da Microsoft, Google Cloud ou Amazon Web Services.

São ataques, também, interessantes para os criminosos, que nem mesmo precisam configurar domínios e hospedagens próprias para os links maliciosos, algo que aumentaria a chance de detecção por um software de segurança. Bastaria automatizar a criação de contas e até a montagem dos contêineres para que tudo estivesse pronto para as explorações.

Em resposta ao estudo, o GitHub agradeceu à contribuição dos especialistas e disse que vai adicionar um alerta aos usuários no acesso a um Codespace, de forma que eles se certifiquem da confiabilidade do link antes de seguirem adiante. Além disso, a empresa indicou guias de melhores práticas de desenvolvimento e segurança para que desenvolvedores possam proteger melhor seus ambientes de trabalho.

Fonte: Trend Micro. Com informações do Bleeping Computer.