- Un nombre de sucursal cuidadosamente elaborado puede robar su token de autenticación de GitHub
- El espacio Unicode oculta cargas maliciosas a plena vista
- Los atacantes pueden automatizar el robo de tokens entre varios usuarios que comparten un repositorio
Los investigadores de seguridad han descubierto una vulnerabilidad de inyección de comandos en el entorno de nube Codex de OpenAI que permite a los atacantes robar tokens de autenticación de GitHub utilizando nada más que un nombre de rama cuidadosamente elaborado.
La investigación realizada por BeyondTrust Phantom Labs encontró que la vulnerabilidad fue causada por una limpieza inadecuada de la entrada en la forma en que Codex procesó los nombres de las ramas de GitHub durante la ejecución.
Al inyectar comandos arbitrarios a través del parámetro de nombre de rama, un atacante puede ejecutar cargas útiles maliciosas dentro del contenedor del agente y recuperar tokens de autenticación confidenciales que otorgan acceso a los repositorios de GitHub conectados.
El artículo continúa a continuación.
Una debilidad a simple vista
Lo que hace que este ataque sea particularmente preocupante es el método que los investigadores han ideado para ocultar la carga maliciosa de la detección humana.
El equipo identificó una forma de disfrazar la carga útil utilizando el espacio ideográfico, un carácter Unicode designado como U+3000.
Al agregar 94 espacios idiográficos seguidos de “o verdadero” al nombre de la rama, se pueden evitar las condiciones de error y al mismo tiempo hacer que la parte ofensiva sea invisible en la interfaz de usuario del códice.
Bash ignora los espacios idiográficos al ejecutar el comando, pero ocultan efectivamente el ataque al permitir al usuario ver el nombre de la sucursal a través de un portal web.
El ataque se puede automatizar para comprometer a varios usuarios que interactúan con un repositorio compartido de GitHub.
Con los permisos de repositorio adecuados, un atacante puede crear una nueva rama con una carga útil ofuscada e incluso establecer esa rama como la rama predeterminada para el repositorio.
A cualquier usuario que interactúe posteriormente con esa rama a través del Codex se le exfiltrará su token GitHub OAuth a un servidor externo controlado por el atacante.
Los investigadores probaron esta técnica alojando un servidor HTTP simple en Amazon EC2 para monitorear las solicitudes entrantes, confirmando que los tokens robados se transmitieron exitosamente.
La vulnerabilidad afectó a varias interfaces del Codex, incluido el sitio web ChatGPT, la CLI del Codex, el SDK del Codex y las extensiones IDE del Codex.
Phantom Labs también descubrió que los tokens de autenticación almacenados localmente en la máquina del desarrollador en el archivo auth.json podrían usarse para replicar ataques a través de API de backend.
Más allá del simple robo de tokens, la misma técnica puede robar tokens de acceso a la instalación de GitHub especificando el códice en un comentario de solicitud de extracción, lo que activa un contenedor de revisión de código que ejecuta la carga útil.
Todos los problemas informados se resolvieron en coordinación con el equipo de seguridad de OpenAI.
Sin embargo, el descubrimiento genera preocupación sobre los agentes de codificación de IA que operan con acceso privilegiado.
Las herramientas de seguridad tradicionales, como antivirus y firewalls, no pueden prevenir este ataque porque ocurre dentro del entorno de nube de OpenAI, más allá de su visibilidad.
Para estar seguras, las organizaciones deben auditar los permisos de las herramientas de inteligencia artificial, especialmente los agentes, y aplicar privilegios mínimos.
Deben monitorear sus repositorios en busca de nombres de sucursales inusuales que contengan espacios Unicode, rotar los tokens de GitHub con regularidad y revisar los registros de acceso en busca de actividad API sospechosa.
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
