Ricercatori hanno scoperto una vulnerabilità in CodeRabbit che permette l'esecuzione di codice remoto tramite l'uso di strumenti esterni configurabili come Rubocop.
Sfruttando un file .rubocop.yml e un’estensione Ruby malevola, gli attaccanti possono esfiltrare le variabili d’ambiente contenenti API key e segreti.
La chiave privata dell'app GitHub di CodeRabbit è stata esfiltrata, consentendo la generazione di token di accesso con permessi di lettura e scrittura su oltre 1 milione di repository.
Gli attaccanti avrebbero potuto clonare repository privati, modificare la cronologia Git e iniettare malware nelle release, causando attacchi alla catena di fornitura.
È stato fornito un proof-of-concept basato su JWT e richieste all’API GitHub per dimostrare l’elaborazione automatica delle installazioni e dei repository.
La mitigazione consigliata prevede l’esecuzione degli strumenti in ambienti isolati, senza variabili d’ambiente sensibili e con traffico di rete ristretto.
Dopo la segnalazione responsabile, CodeRabbit ha disabilitato Rubocop, ruotato i segreti e implementato una correzione entro pochi giorni.
Get notified when new stories are published for "Hacker News 🇮🇹 Italiano"