上星期程序开发测试服务企业Codecove爆出被黑,可能导致供应链攻击影响客户。DevOps基础架构工具厂商HashiCorp自曝的确受到影响,导致加密密钥外流。
Codecov于4月1日发现该公司的Bash Uploader script遭非授权访问及修改,可能危及客户。Bash Uploader是供客户上传软件开发项目的覆盖率报告到Codecov的工具。黑客利用该公司Docker镜像文件创建过程中一项瑕疵取得密码,进而将Bash Uploader script中的IP地址,由Codecov改为黑客控制的服务器,借此悄悄搜集客户的重要凭证,包括API密钥、令符及任何存储在CI(continuous integration)环境中的信息等,可能危及客户网络上的服务或数据库、应用程序代码。
路透社报道,Codecov拥有P&G、GoDaddy、IBM等2.9万家客户,黑客可能已借由Codecov访问其他开发工具软件企业及服务厂商的公司网络。
虽然其他客户都宣称未发现程序代码被黑客修改的现象,但HashiCorp坦承自己用于消息加密、验证程序的GPG私密密钥已经暴露外流,这影响任何手动或自动以SHA256SUM文件及相关签章来下载该公司软件的客户。
经过调查,未发现外流的GPG密钥有非法使用的情形,不过为防万一,HashiCorp已经轮换密钥,发布新的GPG密钥对,并废止已曝光的GPG密钥。现有HashiCorp软件版本都经过检查及重新签发。
HashiCorp表示,黑入事件仅影响SHA256SUM签章机制。HashiCorp软件在macOS公证(notarization)及Windows AuthentiCode的程序代码签章都不受影响,而从releases.hashicorp.com网站下载Linux(Debian和RPM)组件的签发也安全无虞。
但HashiCorp说明,该公司基础架构即程序代码(infrastructure as a code)工具Terraform还未解决问题。Terraform为提供基础架构开发、变更及版本管控的工具,也是使用GPG密钥。它会在terraform init执行过程中自动下载供应商的二进制档时执行签章验证。HashiCorp表示会再发布Terraform及相关工具的修补程序,以便在未来自动验证程序代码时使用新的GPG密钥。
但在此之前,HashiCorp建议开发人员,init执行时最好以TLS连接保护下载官方Terraform供应商二进制档,并以新密钥和签章手动验证Terraform及其供应商。
此外HashiCorp表示将持续调查是否有其他信息外泄,会持续采取事件回应措施,有新进展也会持续通知用户。