- Исследователи из Legit Security выявили уязвимость в GitHub Copilot, позволяющую извлекать содержимое приватных репозиториев с помощью специальных pull-запросов.
- Атака эксплуатирует возможность загрузки внешних изображений и вставки скрытых комментариев в код, чтобы незаметно передавать конфиденциальные данные через прозрачные изображения.
- Для обхода защиты CSP злоумышленники применяют сервис GitHub Camo как прокси для загрузки изображений, что затрудняет обнаружение атаки.
Эксперты компании Legit Security раскрыли технологию проведения атаки на GitHub Copilot, которая способна красть конфиденциальную информацию из приватных репозиториев. Метод основан на особенностях работы чат-бота Copilot при разборе pull-запросов, что позволяет злоумышленнику тайно получить доступ к важным данным, включая, к примеру, ключи доступа к облачному окружению AWS.
Атака использует способность GitHub Copilot загружать внешние изображения в процессе обработки кода и возможность вставлять скрытые комментарии в pull-запросы в формате ««. Потенциальный вредоносный пользователь создает набор однопиксельных прозрачных картинок, каждая из которых кодирует определённый символ или цифру. В скрытом комментарии формируется специальный запрос для бота: найти во всех репозиториях, включая приватные, строки с определённым ключевым значением, например «AWS_KEY». Эти строки бот заменяет не обычным текстом, а визуализацией через загрузку прозрачных изображений, которые одновременно остаются невидимыми для обслуживающего репозиторий.
Злоумышленник, анализируя логи веб-сервера и последовательность загрузки картинок, восстанавливает украденные строки. Для обхода Content Security Policy (CSP), которая ограничивает загрузку только с серверов GitHub, в схему внедрён сервис GitHub Camo. Он выступает в роли прокси, позволяя обойти эти ограничения, подтверждая загрузку изображений через специальный API. Все ссылки в таблице символов оформляются с использованием camo.githubusercontent.com, что делает атаку незаметной для обычных пользователей и администраторов.
Данная уязвимость подчеркивает важность строгого контроля над доступом к приватным данным и необходимость дополнительных мер безопасности при интеграции AI-инструментов в рабочие процессы разработки. В то же время Microsoft недавно объявила о планах перевести инфраструктуру GitHub на собственные серверы Azure в ближайшие два года, что потенциально может повлиять на архитектуру безопасности платформы.
