🔒 Các lệnh độc hại trong không gian mã GitHub kích hoạt RCE

Đăng bởi Dennis Dinh - tháng 2 06, 2026

Một tập hợp các vectơ tấn công trong GitHub Codespaces đã được phát hiện cho phép thực thi mã từ xa (RCE) bằng cách mở kho lưu trữ độc hại hoặc yêu cầu kéo.

Hình ảnh minh họa

📋 Nội dung chi tiết

Phát hiện của Orca Security cho thấy các hành vi mặc định trong dịch vụ phát triển dựa trên đám mây có thể bị lạm dụng để thực thi mã, đánh cắp thông tin xác thực và truy cập các tài nguyên nhạy cảm mà không có sự chấp thuận rõ ràng của người dùng.

GitHub Codespaces cung cấp cho các nhà phát triển môi trường Visual Studio Code (VSC) được lưu trữ trên nền tảng đám mây, hoạt động trong vài phút. Nó tự động áp dụng các tệp cấu hình do kho lưu trữ xác định để hợp lý hóa việc phát triển và cộng tác. Tuy nhiên, sự tiện lợi đó cũng tạo ra bề mặt tấn công khi những tập tin đó bị kẻ thù kiểm soát.

Khai thác hoạt động như thế nào

Nghiên cứu này phác thảo cách Codespaces tự động tôn trọng một số tệp cấu hình khi khởi động hoặc khi yêu cầu kéo được kiểm tra.

🔍 Thông tin bổ sung

Bằng cách nhúng các lệnh độc hại vào các tệp này, kẻ tấn công có thể kích hoạt việc thực thi ngay khi môi trường tải. Sự cố này ảnh hưởng đến cả Codespaces mới được tạo và những Codespace hiện có có chức năng chuyển nhánh hoặc kéo yêu cầu.

Đọc thêm về bảo mật GitHub: Cuộc tấn công chuỗi cung ứng GhostAction xâm phạm hơn 3000 bí mật

Các nhà nghiên cứu của Orca Security đã xác định ba vectơ chính có thể bị lạm dụng mà không cần có sự tương tác bổ sung của người dùng:

Các tác vụ tự động được kích hoạt khi mở thư mục qua .vscode/tasks.json

🔍 Thông tin bổ sung

Thao tác môi trường đầu cuối thông qua .vscode/settings.json

Móc vòng đời vùng chứa nhà phát triển được xác định trong .devcontainer/devcontainer.json

Mỗi vectơ cho phép thực thi lệnh tùy ý, cho phép lọc các biến môi trường, bao gồm mã thông báo xác thực GitHub và bí mật Codespaces.

Tác động tiềm tàng

🔍 Thông tin bổ sung

Sau khi có được, mã thông báo GitHub có thể được sử dụng để đọc và ghi vào kho lưu trữ trong bối cảnh người dùng nạn nhân. Trong trường hợp yêu cầu kéo độc hại đối với một dự án công cộng, điều này có thể cho phép kẻ tấn công mạo danh người bảo trì đáng tin cậy và giới thiệu mã cửa sau.

Các nhà nghiên cứu cũng chứng minh cách các kỹ thuật này có thể được xâu chuỗi để di chuyển ngang trong môi trường GitHub Enterprise và truy cập dữ liệu tổ chức ẩn.

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.

📰 Nguồn: Infosecurity Magazine

👉 Theo dõi CyberSec365 để cập nhật tin tức an ninh mạng mới nhất!