En ondsindet pull request med en .rubocop.yml konfigurationsfil udnyttede Rubocops mulige udvidelser til at køre vilkårlig Ruby-kode på CodeRabbit’s produktionsservere.
Angrebet eksfiltrerede miljøvariabler, herunder API-nøgler og databasedetaljer, så potentielt følsomme hemmeligheder blev lækket.
Den lækkede GITHUB_APP_PEM_FILE privatnøgle gav angriberen mulighed for at generere GitHub-app tokens og opnå læse- og skriverettigheder til en million kode repositories.
Med de stjålne tokens kunne private repositories klones, git-historier ændres, og malware kunne indsættes i eksisterende releases som supply chain-angreb.
Forslag til afhjælpning inkluderer kørsel af eksterne værktøjer i isolerede miljøer uden følsomme miljøvariabler og begrænsning af udgående netværkstrafik.
CodeRabbit teamet reagerede hurtigt på ansvarlig indrapportering, deaktiverede Rubocop, roterede nøgler og rettede sårbarheden inden for en uge.
Get notified when new stories are published for "Hacker News 🇩🇰 Dansk"