Утекли учетные данные для развертывания менеджера репозиториев Nexus на repo.eclipse.org

Утекли учетные данные для развертывания менеджера репозиториев Nexus на repo.eclipse.org

Утечка может привести к дальнейшим атакам на цепочки поставок.

Специалист некоммерческой организации Eclipse Foundation, координирующей работы по проектам Eclipse, Микаэл Барберо (Mikaël Barbero) подтвердил факт утечки конфиденциальных данных в репозиторий на сайте GitHub, которая могла затронуть repo.eclipse.org.

Eclipse Foundation узнала о проблеме 16 февраля нынешнего года от разработчика под псевдонимом gomer ben. В частности, утекли учетные данные для развертывания менеджера репозиториев Nexus на сайте repo.eclipse.org (логин/пароль, ключ API, токены). Учетные данные были зашифрованы, но мастер-пароль также присутствовал в утечке. Хотя он и не был представлен в виде простого текста, его очень легко расшифровать, а затем использовать для расшифровки учетных данных, сообщил Барберо.

Утекшие учетные данные предоставляют полный контроль (чтение/запись/удаление) над всеми репозиториями Maven на repo.eclipse.org. С их помощью злоумышленники могут:

  • Удалять все опубликованные элементы. Это весьма опасно, но не критично, поскольку проект регулярно создает резервные копии;

  • Добавлять в JAR классы с вредоносным кодом, который может запускаться на системах, где они развернуты;

  • Модифицировать некоторые файлы pom.xml с целью добавления/изменения зависимостей таким образом, чтобы последующие пользователи извлекали эти зависимости (потенциально содержащие вредоносный код).

Как только о проблеме стало известно, утекшие учетные данные были отозваны. Вскоре были развернуты новые учетные данные для всех установок Jenkins, требующих возможности развертывания.

«Мы провели тщательный аудит и уверены, что ни один артефакт релизов не был скомпрометирован. Проверять артефакты снапшотов оказалось немного сложнее. Мы не нашли никаких свидетельств того, что они были заражены, но у нас нет доказательств и обратного», - сообщил Барберо.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!