Descubren fallo en GitHub Codespaces que permite el robo de repositorios mediante Copilot

Una investigación de seguridad liderada por la firma Orca Security ha revelado una vulnerabilidad crítica, bautizada como "RoguePilot", en el ecosistema de desarrollo de GitHub. El fallo permitía a atacantes externos tomar el control total de repositorios mediante la manipulación de GitHub Copilot dentro de entornos de Codespaces.

El método: Inyección indirecta de prompts

A diferencia de los ciberataques tradicionales que buscan explotar vulnerabilidades en el código, RoguePilot utiliza una técnica conocida como inyección indirecta de prompts. Según explica el investigador Roi Nisimi en el informe original, el ataque se desencadena cuando un usuario abre un entorno de Codespace desde un "Issue" (incidencia) de GitHub diseñado maliciosamente.

Debido a la integración profunda de la IA, GitHub Copilot procesa automáticamente la descripción del Issue para contextualizar el entorno de trabajo. Los atacantes pueden ocultar instrucciones maliciosas dentro de esta descripción (a veces usando comentarios HTML invisibles para el ojo humano) que el asistente de IA interpreta y ejecuta silenciosamente.

Mecanismo de exfiltración del GITHUB_TOKEN

El objetivo principal del ataque es obtener el GITHUB_TOKEN, una credencial de alta prioridad que otorga acceso a los recursos del repositorio. El proceso detallado por Orca Security consta de varios pasos:

1. Engaño inicial: Se atrae a un desarrollador para que abra un Codespace desde un Issue contaminado.

2. Manipulación de archivos: Copilot, siguiendo las instrucciones inyectadas, es inducido a interactuar con un Pull Request que contiene enlaces simbólicos (symlinks) a archivos internos del sistema.

3. Fuga de datos: Al leer estos archivos y procesar esquemas JSON remotos, el asistente de IA acaba enviando el token privilegiado a un servidor controlado por el atacante.

Impacto y respuesta

La gravedad de RoguePilot reside en que puede comprometer la cadena de suministro de software, permitiendo que un tercero no autorizado realice cambios en el código fuente, acceda a secretos de la empresa o distribuya malware a través de actualizaciones legítimas.

Tras la notificación bajo una política de divulgación responsable, Microsoft y GitHub han implementado parches para mitigar este riesgo. Los investigadores subrayan que este hallazgo destaca la "falta de profundidad de razonamiento" de los modelos de lenguaje actuales, que a menudo no logran distinguir entre las instrucciones legítimas del desarrollador y las órdenes maliciosas embebidas en los datos que procesan.

Expertos en seguridad recomiendan a los equipos de desarrollo deshabilitar funciones de aprobación automática en herramientas de IA y mantener una vigilancia estricta sobre las configuraciones de los archivos devcontainer.json y los permisos de acceso en entornos remotos.