Утекли учетные данные для развертывания менеджера репозиториев Nexus на repo.eclipse.org

[Artifact]

Утечка может привести к дальнейшим атакам на цепочки поставок.

Специалист некоммерческой организации Eclipse Foundation, координирующей работы по проектам Eclipse, Микаэл Барберо (Mikaël Barbero) подтвердил факт утечки конфиденциальных данных в репозиторий на сайте GitHub, которая могла затронуть repo.eclipse.org.
Eclipse Foundation узнала о проблеме 16 февраля нынешнего года от разработчика под псевдонимом gomer ben. В частности, утекли учетные данные для развертывания менеджера репозиториев Nexus на сайте repo.eclipse.org (логин/пароль, ключ API, токены). Учетные данные были зашифрованы, но мастер-пароль также присутствовал в утечке. Хотя он и не был представлен в виде простого текста, его очень легко расшифровать, а затем использовать для расшифровки учетных данных, сообщил Барберо.
Утекшие учетные данные предоставляют полный контроль (чтение/запись/удаление) над всеми репозиториями Maven на repo.eclipse.org. С их помощью злоумышленники могут:

• Удалять все опубликованные элементы. Это весьма опасно, но не критично, поскольку проект регулярно создает резервные копии;

• Добавлять в JAR классы с вредоносным кодом, который может запускаться на системах, где они развернуты;

• Модифицировать некоторые файлы pom.xml с целью добавления/изменения зависимостей таким образом, чтобы последующие пользователи извлекали эти зависимости (потенциально содержащие вредоносный код).

Как только о проблеме стало известно, утекшие учетные данные были отозваны. Вскоре были развернуты новые учетные данные для всех установок Jenkins, требующих возможности развертывания.
«Мы провели тщательный аудит и уверены, что ни один артефакт релизов не был скомпрометирован. Проверять артефакты снапшотов оказалось немного сложнее. Мы не нашли никаких свидетельств того, что они были заражены, но у нас нет доказательств и обратного», - сообщил Барберо.