Утечка может привести к дальнейшим атакам на цепочки поставок.
https://www.securitylab.ru/upload/ib...c7980f0bf.jpeg
Специалист некоммерческой организации Eclipse Foundation, координирующей работы по проектам Eclipse, Микаэл Барберо (Mikaël Barbero) подтвердил факт утечки конфиденциальных данных в репозиторий на сайте GitHub, которая могла затронуть repo.eclipse.org.
Eclipse Foundation узнала о проблеме 16 февраля нынешнего года от разработчика под псевдонимом gomer ben. В частности, утекли учетные данные для развертывания менеджера репозиториев Nexus на сайте repo.eclipse.org (логин/пароль, ключ API, токены). Учетные данные были зашифрованы, но мастер-пароль также присутствовал в утечке. Хотя он и не был представлен в виде простого текста, его очень легко расшифровать, а затем использовать для расшифровки учетных данных, сообщил Барберо.
Утекшие учетные данные предоставляют полный контроль (чтение/запись/удаление) над всеми репозиториями Maven на repo.eclipse.org. С их помощью злоумышленники могут:
<ul><li>Удалять все опубликованные элементы. Это весьма опасно, но не критично, поскольку проект регулярно создает резервные копии;</li>
</ul><ul><li>Добавлять в JAR классы с вредоносным кодом, который может запускаться на системах, где они развернуты;</li>
</ul><ul><li>Модифицировать некоторые файлы pom.xml с целью добавления/изменения зависимостей таким образом, чтобы последующие пользователи извлекали эти зависимости (потенциально содержащие вредоносный код).</li>
</ul>
Как только о проблеме стало известно, утекшие учетные данные были отозваны. Вскоре были развернуты новые учетные данные для всех установок Jenkins, требующих возможности развертывания.
«Мы провели тщательный аудит и уверены, что ни один артефакт релизов не был скомпрометирован. Проверять артефакты снапшотов оказалось немного сложнее. Мы не нашли никаких свидетельств того, что они были заражены, но у нас нет доказательств и обратного», - сообщил Барберо.