Утекли учетные данные для развертывания менеджера репозиториев Nexus на repo.eclipse.org

Утекли учетные данные для развертывания менеджера репозиториев Nexus на repo.eclipse.org

Утечка может привести к дальнейшим атакам на цепочки поставок.

image

Специалист некоммерческой организации Eclipse Foundation, координирующей работы по проектам Eclipse, Микаэл Барберо (Mikaël Barbero) подтвердил факт утечки конфиденциальных данных в репозиторий на сайте GitHub, которая могла затронуть repo.eclipse.org.

Eclipse Foundation узнала о проблеме 16 февраля нынешнего года от разработчика под псевдонимом gomer ben. В частности, утекли учетные данные для развертывания менеджера репозиториев Nexus на сайте repo.eclipse.org (логин/пароль, ключ API, токены). Учетные данные были зашифрованы, но мастер-пароль также присутствовал в утечке. Хотя он и не был представлен в виде простого текста, его очень легко расшифровать, а затем использовать для расшифровки учетных данных, сообщил Барберо.

Утекшие учетные данные предоставляют полный контроль (чтение/запись/удаление) над всеми репозиториями Maven на repo.eclipse.org. С их помощью злоумышленники могут:

  • Удалять все опубликованные элементы. Это весьма опасно, но не критично, поскольку проект регулярно создает резервные копии;

  • Добавлять в JAR классы с вредоносным кодом, который может запускаться на системах, где они развернуты;

  • Модифицировать некоторые файлы pom.xml с целью добавления/изменения зависимостей таким образом, чтобы последующие пользователи извлекали эти зависимости (потенциально содержащие вредоносный код).

Как только о проблеме стало известно, утекшие учетные данные были отозваны. Вскоре были развернуты новые учетные данные для всех установок Jenkins, требующих возможности развертывания.

«Мы провели тщательный аудит и уверены, что ни один артефакт релизов не был скомпрометирован. Проверять артефакты снапшотов оказалось немного сложнее. Мы не нашли никаких свидетельств того, что они были заражены, но у нас нет доказательств и обратного», - сообщил Барберо.


Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.