Потенциалните клиенти на платформата Codecov, която се използва за тестване на код, могат да включват:
Главният изпълнителен директор на платформата Джерод Енгелберг в свояВ жалбата се обяснява, че нападателят е получил неоторизиран достъп до скрипта на Bash Uploader на компанията и го е модифицирал, което му е позволило да получи достъп до всички идентификационни данни, токени или ключове, съхранявани в клиентската среда за непрекъсната интеграция, както и до всякакви услуги и хранилища за данни . След това получените данни бяха изпратени до сървър на трета страна извън Codecov.
Bash Uploader на компанията се използва и в три свързани качващи устройства: Codecov-actions uploader за Github, Codecov CircleCl Orb и Codecov Bitrise Step. Всички те също страдаха.
„Хакерът получи достъп поради грешка в процесасъздаване на образ на Docker Codecov, който му позволи да извлече идентификационните данни, необходими за модифициране на нашия скрипт на Bash Uploader “, каза Енгелбърг. „Веднага след като стана известно за проблема, Codecov осигури и поправи уязвимия скрипт и започна да разследва всяко потенциално въздействие върху потребителите.“
След разследване на инцидента компаниятае установил, че нападателят периодично прави промени в скрипта на Bash Uploader от 31 януари тази година. Codecov разбра за хакването на 1 април, когато клиент откри и съобщи за несъответствие в Bash Uploader.
„Настоятелно препоръчваме засегнатитепотребителите незабавно ще използват всички свои идентификационни данни, маркери или ключове, разположени в променливи на околната среда в техните CI процеси, които са използвали един от Bash Uploaders на Codecov “, заключи Енгелбърг.
Вижте също:
- Създадоха първата точна карта на света. Какво не е наред с всички останали?
- Учените са декодирали странни сигнали от космоса
- Уран е получил статута на най-странната планета в Слънчевата система. Защо?