CodeCov是一家为开发人员创建软件审计工具的公司,最近被入侵了(该公司说它在4月1日被入侵,并在4月15日报告了此事)。据调查人员称,这一事件反过来又让攻击者进入了数量未知的CodeCov客户网络。

人们不禁会认为,这种连锁反应是一种负面影响供应链攻击类似太阳风到底怎么了这个r的客户.

您可能还记得,在SolarWinds攻击中,在IT公司SolarWinds遭受攻击,导致其产品未被检测到的修改后,多家公司报告说被国家赞助的对手破坏。受影响的包括FireEye,这导致了他们的红队评估工具被盗;微软; 以及美国财政部和商业部.

与SolarWinds一样,这似乎是向其他组织提供的产品添加恶意代码的又一次尝试,目的是危害这些组织,并可能危害他们提供的软件产品。

CodeCov表示,客户用来查找代码覆盖率报告并将其上传给CodeCov的Bash上传程序脚本在今年1月底被篡改。如果客户没有在4月1日提出问题,这一点就不会被发现。据该公司称,攻击者能够通过利用CodeCov的Docker图像创建过程中的错误来访问和修改脚本。

A.安全更新帖子他说:

我们的调查确定,从2021年1月31日开始,第三方定期对我们的Bash Uploader脚本进行未经授权的更改,这使他们能够导出存储在用户持续集成(CI)环境中的信息。然后,这些信息被发送到Codecov基础设施之外的第三方服务器,”

由于允许脚本搜索用户的代码,因此它可能有权访问与该代码一起存储的任何凭据。这可能使攻击者能够访问CodeCov客户端网络中的系统,进而访问这些公司正在开发并提供给其他公司的代码。而且,由于预计它将在客户端网络之外上传数据,上传脚本还为被盗数据提供了一种简单的过滤途径。

据路透社报道,CodeCov攻击者通过自动脚本快速复制和粘贴来自受损客户的凭据,并使用自动方式搜索其他资源(不清楚这些是对bash上传脚本的引用,它似乎符合该描述,还是其他一些工具)。路透社在接受一名调查人员的采访时还透露:“黑客们投入了额外的努力,利用CodeCov进入其他软件开发程序制造商,以及自己为许多客户提供技术服务的公司,包括IBM。”。

路透社报道说,IBM、Atlassian和CodeCov的其他客户声称他们的代码没有被修改,但没有解决凭证问题。据新闻社报道,另一位CodeCov客户惠普企业(Hewlett-packardenterprise)尚未确定自己或其任何客户是否受到这一违规行为的影响。

CodeCov说,修改后的Bash上传程序可能会影响:

-我们的客户通过[Continuous Integration]运行器传递的任何凭据、令牌或密钥,在Bash Uploader脚本执行时都可以访问。

-可以使用这些凭证、令牌或密钥访问的任何服务、数据存储和应用程序代码。

-使用Bash uploader将覆盖范围上传到CI中的Codecov的存储库的git远程信息(源存储库的URL)。

CodeCov有一个建议采取的操作列表。这包括“他们的所有凭证、令牌或密钥位于使用Codecov的Bash上载程序之一的CI进程中的环境变量中。”,请点击此处了解更多详情. 您还可以在其中找到他们针对这一违规行为所采取的行动列表。