يمكن أن يشمل العملاء المحتملون لمنصة Codecov، المستخدمة لاختبار التعليمات البرمجية، ما يلي:
الرئيس التنفيذي للمنصة Jerrod Engelberg في موقعهأوضح الاستئناف أن المهاجم حصل على وصول غير مصرح به إلى البرنامج النصي Bash Uploader للشركة وقام بتعديله ، مما أتاح له إمكانية الوصول إلى أي بيانات اعتماد أو رموز أو مفاتيح مخزنة في بيئات التكامل المستمر للعميل ، وكذلك إلى أي خدمات ومخازن بيانات. . ثم تم إرسال البيانات الناتجة إلى خادم جهة خارجية خارج Codecov.
يتم استخدام Bash Uploader للشركة أيضًا في ثلاثة رافعين مرتبطين: برنامج تحميل إجراءات Codecov لـ Github و Codecov CircleCl Orb و Codecov Bitrise Step. لقد عانوا جميعًا أيضًا.
"حصل المتسلل على حق الوصول بسبب خطأ في العمليةإنشاء صورة Docker Codecov التي سمحت له باستخراج بيانات الاعتماد اللازمة لتعديل نص Bash Uploader "، قال Engelberg. "فور معرفة المشكلة ، قام Codecov بتأمين وإصلاح البرنامج النصي الضعيف وبدأ التحقيق في أي تأثير محتمل على المستخدمين."
بعد التحقيق في الحادث قامت الشركةقرر أن المهاجم أجرى تغييرات دورية على نص Bash Uploader منذ 31 كانون الثاني (يناير) من هذا العام. أصبح برنامج Codecov على علم بالاختراق في 1 أبريل عندما اكتشف العميل وجود تناقض في Bash Uploader وأبلغ عنه.
"نوصي بشدة أن المتضررينسيعيد المستخدمون على الفور استخدام جميع بيانات الاعتماد الخاصة بهم أو الرموز المميزة أو المفاتيح الموجودة في متغيرات البيئة في عمليات CI الخاصة بهم التي كانت تستخدم أحد برامج تحميل Bash من Codecov ".
انظر أيضا:
- أنشأت أول خريطة دقيقة للعالم. ما هو الخطأ مع أي شخص آخر؟
- فك العلماء إشارات غريبة من الفضاء
- حصل أورانوس على مكانة أغرب كوكب في المجموعة الشمسية. لماذا ا؟