Potentielle klienter til Codecov-platformen, som bruges til at teste kode, kan omfatte:
Platform CEO Jerrod Engelberg i hansAppellen forklarede, at angriberen fik uautoriseret adgang til virksomhedens Bash Uploader-script og ændrede det, hvilket gjorde det muligt for ham potentielt at få adgang til alle legitimationsoplysninger, tokens eller nøgler, der er gemt i klientens kontinuerlige integrationsmiljøer, samt til alle tjenester og datalagre. . De resulterende data blev derefter sendt til en tredjepartsserver uden for Codecov.
Virksomhedens Bash Uploader bruges også i tre relaterede uploadere: Codecov-actions uploader til Github, Codecov CircleCl Orb og Codecov Bitrise Step. De led alle også.
”Hacker fik adgang på grund af en fejl i processenskabe et Docker Codecov-billede, der tillod ham at udtrække de legitimationsoplysninger, der var nødvendige for at ændre vores Bash Uploader-script, ”sagde Engelberg. "Straks efter at det blev kendt om problemet, sikrede og fikserede Codecov det sårbare script og begyndte at undersøge enhver potentiel indvirkning på brugerne."
Efter at have undersøgt hændelsen, virksomhedenhar fastslået, at angriberen periodisk har foretaget ændringer i Bash Uploader-scriptet siden 31. januar i år. Codecov blev opmærksom på hacket den 1. april, da en klient opdagede og rapporterede en inkonsekvens i Bash Uploader.
”Vi anbefaler kraftigt de berørtebrugerne vil straks genbruge alle deres legitimationsoplysninger, tokens eller nøgler, der er placeret i miljøvariabler i deres CI-processer, der brugte en af Codecovs Bash Uploaders, ”konkluderede Engelberg.
Se også:
- Oprettet det første nøjagtige kort over verden. Hvad er der galt med alle andre?
- Forskere har afkodet mærkelige signaler fra rummet
- Uranus har modtaget status som den mærkeligste planet i solsystemet. Hvorfor?