The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp "  +/
Сообщение от opennews (?), 27-Апр-21, 10:01 
Компания HashiCorp, известная разработкой открытых инструментариев Vagrant, Packer, Nomad и Terraform, объявила об утечке  закрытого GPG-ключа, используемого для создания цифровых подписей, верифицирующих релизы. Атакующие, получившие доступ к GPG-ключу, потенциально могли внести скрытые изменения в продукты HashiCorp, заверив их корректной цифровой подписью. При этом компания заявила, что в ходе проведённого аудита следов попыток внесения подобных модификаций не выявлено...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55032

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +1 +/
Сообщение от Анонин (?), 27-Апр-21, 10:01 
Бывает
Ответить | Правка | Наверх | Cообщить модератору

4. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +1 +/
Сообщение от Леголасemail (ok), 27-Апр-21, 10:33 
никогда же нет, но вот опять
Ответить | Правка | Наверх | Cообщить модератору

2. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +10 +/
Сообщение от Аноним (2), 27-Апр-21, 10:03 
Вот заслуживает уважения за то что не скрывают. Асус помнится распространял подписанную его ключом малварь через сервисы обновления (чья операция?).
Ответить | Правка | Наверх | Cообщить модератору

55. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от валяйте (?), 28-Апр-21, 12:06 
Ой дурачееек.
Ответить | Правка | Наверх | Cообщить модератору

3. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +13 +/
Сообщение от пох. (?), 27-Апр-21, 10:27 
доскер, gcs, curl | sudo su
все пароли от всего плейнтекстом потому что как же ж иначе скрипт сможет их использовать.
Модная современная разработка, continuous degradation.

Почему я и не удивлен?

Ответить | Правка | Наверх | Cообщить модератору

5. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +3 +/
Сообщение от Леголасemail (ok), 27-Апр-21, 10:35 
> Модная современная разработка, continuous degradation

с точки зрения двигателей прогресса: главное, что не стагнация, или «устаревание технологий» (:

Ответить | Правка | Наверх | Cообщить модератору

49. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от kvaps (ok), 28-Апр-21, 07:55 
Ага, "Evolution is better than stagnation" - всё верно :)
Ответить | Правка | Наверх | Cообщить модератору

7. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +2 +/
Сообщение от richman1000000 (ok), 27-Апр-21, 10:42 
> continuous degradation

это прям в точку. Даже добавить ничего не могу

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Леголасemail (ok), 27-Апр-21, 11:25 
> Даже добавить ничего не могу

и не надо, просто наградите автора славным зелёным +

Ответить | Правка | Наверх | Cообщить модератору

19. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +5 +/
Сообщение от Аноним (-), 27-Апр-21, 13:42 
> Модная современная разработка

а чё не так?
жсы, питоны, котлины, ява и ой-ой-ой-какие-нагруженные-перегруженные-сервисы-ой-ой-ёй, бэкэнды головного мозга, андройды, докеры, ой-ой-ёй-какие-высокие-пороги-вхождения-в-малокультурную-нижеплинтусную-разработку...

зато за этот фаршмак платят норм... так и живём...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

23. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Аноним (23), 27-Апр-21, 13:58 
Проблема вызвана случайной публикацией пароля, доскер, gcs, curl | sudo su к ней в общем-то не имеют отношения
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

46. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Михрютка (ok), 27-Апр-21, 20:43 
https://youtu.be/p9bb8qz4FxQ?t=39
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

50. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от kvaps (ok), 28-Апр-21, 07:57 
А знаете что самое забавное и ироничное в этой ситуации?
Тот факт что Hashicorp Vault - это то самое решение, которые должно было бы решить данную проблему.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

8. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  –2 +/
Сообщение от Аноним (8), 27-Апр-21, 10:47 
Используйте vault говорили они...
Ответить | Правка | Наверх | Cообщить модератору

24. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +1 +/
Сообщение от Аноним (23), 27-Апр-21, 14:00 
Если бы Codecov использовал vault то вероятно не опубликовал бы пароль
Ответить | Правка | Наверх | Cообщить модератору

48. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Аноним (8), 28-Апр-21, 07:50 
При чём тут Codecov то ?
Хашикорп у себя в проектах использовали Codecov скрипт и очевидно хранили ключи в env ...
Ответить | Правка | Наверх | Cообщить модератору

51. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от kvaps (ok), 28-Апр-21, 08:06 
Кстати, отличная иллюстрация почему не стоит "хранить все яйца в одной корзинке".

Если они используют контейнеры для запуска CI, то запуск codecov в отдельном контейнере позволил бы избежать этой проблемы. Так как в изолированном окружении он имел бы доступ только коду репозитория и токену GitHub.

Ответить | Правка | Наверх | Cообщить модератору

9. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +7 +/
Сообщение от lockywolf (ok), 27-Апр-21, 10:59 
Отличная новость, в которой такой старый пердун как я понял единственное слово: GPG.

О чём вообще речь? Кто все эти люди, и что делают их классные продукты?

Ответить | Правка | Наверх | Cообщить модератору

11. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +1 +/
Сообщение от Штыбель (?), 27-Апр-21, 11:03 
С возвращением в мир победившего DevOps'а.
Облака, Докер-Пакер, Непрерывная интеграция, все дела...
Ответить | Правка | Наверх | Cообщить модератору

14. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +3 +/
Сообщение от Леголасemail (ok), 27-Апр-21, 11:27 
хочу обратно в анабиоз
Ответить | Правка | Наверх | Cообщить модератору

42. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +2 +/
Сообщение от Crazy Alex (ok), 27-Апр-21, 19:00 
Уж что-что, а непрерывная интеграция - это хорошо. Гарантированно стандартным образом всё соберёт с нуля и без невоспроизвлдимых хитростей конкретного разработчика, тесты прогонит, анализаторы всякие... милое дело.
Ответить | Правка | Наверх | Cообщить модератору

53. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от kissmyass (?), 28-Апр-21, 10:13 
к сожалению брехня, не гарантированно, очередное обновление какого-нибудь гитлаб ранера или еще какой системы типа powershell или grunt и всё летит к чертям, притом иногда собирает, но никак не говорит о проблемах, не говоря уже о самом коде, который с определенного момента нужно собирать по-другому

так что это нереально написать скрипт на все случаи жизни... оно конечно упрощает отчасти повседневную рутину, но добавляет гемора по саппорту всего этого велосипеда

Ответить | Правка | Наверх | Cообщить модератору

57. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Штыбель (?), 28-Апр-21, 20:23 
>оно конечно упрощает отчасти повседневную рутину, но добавляет гемора по саппорту всего этого велосипеда

Та-даммм... для этого и нужен высокооплачиваемый специалист DevOps Engineer.

Ответить | Правка | Наверх | Cообщить модератору

58. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от kissmyass (?), 29-Апр-21, 00:44 
>>оно конечно упрощает отчасти повседневную рутину, но добавляет гемора по саппорту всего этого велосипеда
> Та-даммм... для этого и нужен высокооплачиваемый специалист DevOps Engineer.

если требуются расходы на еще одну штатную единицу для поддержания системы сборки на плаву, не проще ли оплатить некоторое количество часов разработчику за +- тот же самый результат?

притом это скорее всего будет быстрее, дешевле и с лучшим знанием проекта

Ответить | Правка | Наверх | Cообщить модератору

26. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +1 +/
Сообщение от анонн (ok), 27-Апр-21, 14:13 
> Облака, Докер-Пакер, Непрерывная интеграция,

... горы шкурок от бананов, оглушающие крики "Уг-уг! Аг-аг-аг-а-а!", из гигантской кучи экскрементов виднеется часть  исполинской статуи Древних Предтеч -  гигантская рука, сжимающая не менее гигантский факел ...

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

32. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +2 +/
Сообщение от YetAnotherOnanym (ok), 27-Апр-21, 14:31 
> часть исполинской статуи Древних Предтеч -  гигантская рука, выставившая не менее гигантский средний палец...

Пофиксил.

Ответить | Правка | Наверх | Cообщить модератору

56. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Аноним (-), 28-Апр-21, 13:40 
>> часть исполинской статуи Древних Предтеч -  гигантская рука, выставившая не менее гигантский средний палец...
> Пофиксил.

Зачем было фиксить классическую отсылку к "Планете Обезьян"?

https://smarthistory.org/wp-content/uploads/2020/07/PotA-sca...

Ответить | Правка | Наверх | Cообщить модератору

20. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +1 +/
Сообщение от Аноним (-), 27-Апр-21, 13:45 
> Кто все эти люди, и что делают их классные продукты?

болото нынешней it макулатуры

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Аноним (10), 27-Апр-21, 11:02 
SaaS-ификация разработки от-SaaS-ла
Ответить | Правка | Наверх | Cообщить модератору

16. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Аноним (16), 27-Апр-21, 12:20 
Нагородили фигни со своими докерами, теперь страдают.
Ответить | Правка | Наверх | Cообщить модератору

22. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +3 +/
Сообщение от Аноним (-), 27-Апр-21, 13:50 
> для взлома инфраструктуры атакующие воспользовались
> ошибкой в процессе создания Docker-образа

бесценно...

Ответить | Правка | Наверх | Cообщить модератору

25. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +1 +/
Сообщение от Аноним (23), 27-Апр-21, 14:01 
Чем именно? Точно такая же ошибка может быть и при создании iso или rpm или deb или чего угодно.
Ответить | Правка | Наверх | Cообщить модератору

37. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от andy (??), 27-Апр-21, 16:18 
> Точно такая же ошибка может быть и при создании iso
> или rpm или deb или чего угодно.

Какая же это "такая ошибка" может быть при создании deb или rpm?

Ответить | Правка | Наверх | Cообщить модератору

43. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Crazy Alex (ok), 27-Апр-21, 19:02 
Случайно засунуть туда ключи доступа к инфрастрруктуре, вестимо.
Ответить | Правка | Наверх | Cообщить модератору

52. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +1 +/
Сообщение от Аноним (52), 28-Апр-21, 08:31 
Звучит как из области фантастики.
Давно не встречал взломов инфраструктуры из-за deb/rmp. А обсижёр докеров или выходов за пределы вмок - регулярно.
Ответить | Правка | Наверх | Cообщить модератору

27. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Аноним (27), 27-Апр-21, 14:15 
Университет Миннесоты теперь ложит докеры?
Ответить | Правка | Наверх | Cообщить модератору

28. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Аноним (28), 27-Апр-21, 14:27 
Кладет же! Пишы правельна!
Ответить | Правка | Наверх | Cообщить модератору

34. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Аноним (27), 27-Апр-21, 15:20 
Дитмар Эльяшевич?
Так то ж просторечие разговорного жанра, не мне вам рассказывать.
Ответить | Правка | Наверх | Cообщить модератору

35. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от псевдонимус (?), 27-Апр-21, 15:46 
Хорошая новость. Подробная.
Ответить | Правка | Наверх | Cообщить модератору

36. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от псевдонимус (?), 27-Апр-21, 16:14 
Докер это глобально и надёжно. Отраслевой стандарт.

Линукс собственно и нужен для запуска докера.

Ответить | Правка | Наверх | Cообщить модератору

38. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  –1 +/
Сообщение от Аноним (38), 27-Апр-21, 17:42 
Чёт народ тут не признает новые технологии. Удивительно что кто-то хейтит доккер.
Ответить | Правка | Наверх | Cообщить модератору

54. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +1 +/
Сообщение от Noname (??), 28-Апр-21, 11:33 
Потому что при выборе шашечек или ехать, приехали.

Делали б по заветам Таненбаума и Кнута, может быть меньше обсирались.

Ответить | Правка | Наверх | Cообщить модератору

40. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Аноним (40), 27-Апр-21, 18:07 
>Изменения были внесены ещё 31 января, два месяца оставались незамеченными и позволяли злоумышленникам извлекать информацию, хранимую в окружениях систем непрерывной интеграции клиентов. При помощи добавленного вредоносного кода злоумышленники могли получить информацию о тестируемом Git-репозитории и всех переменных окружения, в том числе включающих токены,

То ли дело Coveralls:  https://github.com/TheKevJames/coveralls-python/blob/54be754...

Ответить | Правка | Наверх | Cообщить модератору

44. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от Аноним (-), 27-Апр-21, 19:41 
Сначала прочитал Valgrind.
А vagrant - тот еще пц интеграции. Как-то разок попробовал и стало ясно что яуж как нибудь сам, ручками.
С их джентельментским набором все это предсказуемо, даже и на новость не тянет. Давайте про каждого ламера теперь писать будем. Больше статей - больше рекламы.
Ответить | Правка | Наверх | Cообщить модератору

45. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +/
Сообщение от амоним (?), 27-Апр-21, 20:20 
а что не так с их набором?
отличные решения, каждая софтина закрывает определенный участок
Ответить | Правка | Наверх | Cообщить модератору

47. "Внедрение вредоносного кода в скрипт Codecov привело к компр..."  +1 +/
Сообщение от Аноним (47), 27-Апр-21, 23:46 
Внедрение вредоносного кода в бредоносный говнокод.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру