ఓపెన్ సోర్స్ టూల్స్ వాగ్రాంట్, ప్యాకర్, నోమాడ్ మరియు టెర్రాఫార్మ్లను అభివృద్ధి చేయడంలో పేరుగాంచిన HashiCorp, విడుదలలను ధృవీకరించే డిజిటల్ సంతకాలను రూపొందించడానికి ఉపయోగించే ప్రైవేట్ GPG కీని లీక్ చేసినట్లు ప్రకటించింది. GPG కీకి యాక్సెస్ని పొందిన దాడి చేసేవారు HashiCorp ఉత్పత్తులను సరైన డిజిటల్ సంతకంతో ధృవీకరించడం ద్వారా వాటికి దాచిన మార్పులు చేయగలరు. అదే సమయంలో, ఆడిట్ సమయంలో, అటువంటి సవరణలు చేయడానికి ప్రయత్నించిన జాడలు గుర్తించబడలేదని కంపెనీ పేర్కొంది.
ప్రస్తుతం, రాజీపడిన GPG కీ ఉపసంహరించబడింది మరియు దాని స్థానంలో కొత్త కీని ప్రవేశపెట్టారు. సమస్య SHA256SUM మరియు SHA256SUM.sig ఫైల్లను ఉపయోగించి ధృవీకరణను మాత్రమే ప్రభావితం చేసింది మరియు releases.hashicorp.com ద్వారా సరఫరా చేయబడిన Linux DEB మరియు RPM ప్యాకేజీల కోసం డిజిటల్ సంతకాల ఉత్పత్తిని ప్రభావితం చేయలేదు, అలాగే macOS మరియు Windows (AuthentiCode) కోసం విడుదల ధృవీకరణ విధానాలను ప్రభావితం చేయలేదు. .
ఇన్ఫ్రాస్ట్రక్చర్లో కోడ్కోవ్ బాష్ అప్లోడర్ (కోడెకోవ్-బాష్) స్క్రిప్ట్ను ఉపయోగించడం వల్ల లీక్ సంభవించింది, ఇది నిరంతర ఏకీకరణ సిస్టమ్ల నుండి కవరేజ్ నివేదికలను డౌన్లోడ్ చేయడానికి రూపొందించబడింది. కోడ్కోవ్ కంపెనీపై దాడి సమయంలో, పేర్కొన్న స్క్రిప్ట్లో బ్యాక్డోర్ దాచబడింది, దీని ద్వారా పాస్వర్డ్లు మరియు ఎన్క్రిప్షన్ కీలు దాడి చేసేవారి సర్వర్కు పంపబడ్డాయి.
హ్యాక్ చేయడానికి, దాడి చేసేవారు కోడ్కోవ్ డాకర్ చిత్రాన్ని రూపొందించే ప్రక్రియలో లోపాన్ని ఉపయోగించుకున్నారు, ఇది కోడ్కోవ్.io నుండి పంపిణీ చేయబడిన బాష్ అప్లోడర్ స్క్రిప్ట్లో మార్పులు చేయడానికి అవసరమైన GCS (Google క్లౌడ్ స్టోరేజ్)కి యాక్సెస్ డేటాను సేకరించేందుకు వారిని అనుమతించింది. వెబ్సైట్. మార్పులు జనవరి 31న తిరిగి చేయబడ్డాయి, రెండు నెలలపాటు గుర్తించబడలేదు మరియు దాడి చేసేవారు కస్టమర్ నిరంతర ఇంటిగ్రేషన్ సిస్టమ్ పరిసరాలలో నిల్వ చేయబడిన సమాచారాన్ని సేకరించేందుకు అనుమతించారు. జోడించిన హానికరమైన కోడ్ని ఉపయోగించి, దాడి చేసేవారు పరీక్షించిన Git రిపోజిటరీ మరియు అప్లికేషన్ కోడ్, రిపోజిటరీలు మరియు Amazon వెబ్ సర్వీసెస్ మరియు GitHub వంటి సేవలకు యాక్సెస్ని నిర్వహించడానికి నిరంతర ఇంటిగ్రేషన్ సిస్టమ్లకు ప్రసారం చేయబడిన టోకెన్లు, ఎన్క్రిప్షన్ కీలు మరియు పాస్వర్డ్లతో సహా అన్ని ఎన్విరాన్మెంట్ వేరియబుల్స్ గురించి సమాచారాన్ని పొందవచ్చు.
డైరెక్ట్ కాల్తో పాటు, Codecov-action (Github), Codecov-circleci-orb మరియు Codecov-bitrise-step వంటి ఇతర అప్లోడర్లలో భాగంగా Codecov Bash అప్లోడర్ స్క్రిప్ట్ ఉపయోగించబడింది, దీని వినియోగదారులు కూడా సమస్య ద్వారా ప్రభావితమవుతారు. కోడ్కోవ్-బాష్ మరియు సంబంధిత ఉత్పత్తుల యొక్క వినియోగదారులందరూ వారి అవస్థాపనలను ఆడిట్ చేయాలని, అలాగే పాస్వర్డ్లు మరియు ఎన్క్రిప్షన్ కీలను మార్చాలని సిఫార్సు చేస్తారు. మీరు లైన్ కర్ల్ -sm 0.5 -d “$(git remote -v)/upload /v2 || నిజం
మూలం: opennet.ru