HashiCorp стал жертвой атаки на цепочку поставок Codecov

Разработчик программного обеспечения с открытым исходным кодом HashiCorp сообщил об инциденте, связанном с атакой на цепочку поставок Codecov.

Как сообщил представитель HashiCorp, атака привела к хищению ключа подписи GPG HashiCorp и затронула часть процессов непрерывной интеграции (Continuous Integration, CI). Закрытый ключ используется HashiCorp для подписи и проверки выпусков программного обеспечения, и с тех пор он был заменен в качестве меры предосторожности.

«Хотя расследование не выявило свидетельств несанкционированного использования открытого ключа GPG, он был изменен из соображений безопасности для поддержки надежного механизма подписи», — пояснили представители компании.

Компания опубликовала новую пару ключей GPG, которая будет использоваться с этого момента. Взломанная пара ключей GPG отозвана разработчиком.

Согласно HashiCorp, инцидент повлиял только на механизм подписи SHA256SUM HashiCorp. Хищение закрытого ключа не затронуло процесс подписи кода macOS, а также Windows AuthentiCode выпусков HashiCorp. Также остался неизменным процесс подписи для пакетов Linux (Debian и RPM), доступных на releases.hashicorp.com. Однако продукт Terraform еще не исправлен для использования нового ключа GPG.

Напомним,1 апреля 2021 года, неизвестные получили несанкционированный доступ к скрипту Bash Uploader компании Codecov и модифицировал без разрешения. Злоумышленнику удалось получить доступ благодаря ошибке в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader. Атака на цепочку поставок Codecov Bash Uploader оставалась нераскрытой с начала нынешнего года и привела к утечке токенов, ключей и учетных данных организаций по всему миру.