福建路桥建设有限公司网站,网页设计太难了,网站建设需要的手续,微网站开发软件聚焦源代码安全#xff0c;网罗国内外最新资讯#xff01;编译#xff1a;代码卫士Orca安全公司发布报告称#xff0c;在GitHub Codespaces中打开代码仓库或拉取请求时#xff0c;VS Code集成配置文件自动执行的功能可能引发供应链攻击。Codespaces作为云端托管的开发环境…聚焦源代码安全网罗国内外最新资讯编译代码卫士Orca安全公司发布报告称在GitHub Codespaces中打开代码仓库或拉取请求时VS Code集成配置文件自动执行的功能可能引发供应链攻击。Codespaces作为云端托管的开发环境允许用户几乎即时创建完全配置的Visual Studio Code实例提供紧密的仓库集成和容器支持。Orca表示该环境虽然便于开发者测试代码、审查拉取请求等操作但也可能通过仓库定义的配置文件使其面临攻击风险。这家网络安全公司指出“Codespaces本质上是运行在云端的VS Code后端采用Ubuntu容器内置GitHub身份验证和仓库集成功能。这意味着当攻击者控制仓库内容时任何涉及代码执行、密钥管理或扩展操作的VS Code功能都可能被滥用。”该公司解释称问题在于当用户打开仓库或拉取请求时甚至从现有Codespace环境检查拉取请求时Codespaces会自动应用所有VS Code配置。攻击者可在.vscode/文件夹的JSON文件中植入恶意命令当用户打开任意文件夹时这些命令将在未经用户批准的情况下被自动化流程执行。此外攻击者可通过在另一个JSON文件中嵌入集成终端的变量来攻击Linux系统将导致恶意负载通过bash执行。攻击者还可利用devcontainer.json文件嵌入任意命令这些命令将在容器初始化完成后自动在机器上执行。Orca表示这些攻击途径可能导致GitHub令牌、Codespaces密钥及其他敏感信息被窃取。GitHub令牌允许以受害者用户身份进行读写操作同时也可被滥用以向公共仓库提交恶意拉取请求。Orca进一步解释称攻击者可在供应链攻击中滥用GitHub Codespaces的远程代码执行漏洞——通过分叉公共仓库创建恶意拉取请求当维护者通过Codespaces打开该请求时其GitHub令牌即会泄露。攻击者随后便能以已验证维护者身份推送代码。攻击者可创建恶意VS Code扩展程序发起跨站脚本攻击并通过2024年8月披露的“0.0.0.0 Day”漏洞访问本地服务。Orca同时警告称攻击者可将窃取的GitHub令牌与隐藏的未公开API结合使用从而以受害者名义调用付费高级AI模型。Orca称已向微软报告相关发现微软回应称此行为属于系统设计预期。GitHub 尚未就此事置评。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读VS Code 分支版本推荐不存在的扩展在 Open VSX 中引发供应链风险微软决定不修复 Visual Studio 中的一次点击 RCE 漏洞详述Visual Studio 代码远程开发扩展中的远程命令执行漏洞微软紧急修复两个 RCE影响 Windows Codecs 库和 Visual Studio原文链接https://www.securityweek.com/vs-code-configs-expose-github-codespaces-to-attacks/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~