Parmi les clients potentiels de la plateforme Codecov, qui est utilisée pour tester le code, on pourrait citer
Jerrod Engelberg, PDG de la plateforme, dans sonL'appel a expliqué que l'attaquant avait obtenu un accès non autorisé au script Bash Uploader de l'entreprise et l'avait modifié, ce qui lui permettait d'accéder potentiellement à toutes les informations d'identification, jetons ou clés stockés dans les environnements d'intégration continue du client, ainsi qu'à tous les services et magasins de données. . Les données résultantes ont ensuite été envoyées à un serveur tiers en dehors de Codecov.
Le Bash Uploader de la société est également utilisé dans trois uploaders associés: le uploader Codecov-actions pour Github, le Codecov CircleCl Orb et le Codecov Bitrise Step. Ils ont tous souffert aussi.
"Le pirate a obtenu l'accès en raison d'une erreur dans le processuscréer une image Docker Codecov qui lui a permis d'extraire les informations d'identification nécessaires pour modifier notre script Bash Uploader », a déclaré Engelberg. "Immédiatement après avoir pris connaissance du problème, Codecov a sécurisé et corrigé le script vulnérable et a commencé à enquêter sur tout impact potentiel sur les utilisateurs."
Après avoir enquêté sur l'incident, la sociétéa déterminé que l'attaquant a périodiquement apporté des modifications au script Bash Uploader depuis le 31 janvier de cette année. Codecov a pris connaissance du piratage le 1er avril lorsqu'un client a découvert et signalé une incohérence dans le Bash Uploader.
«Nous recommandons vivement aux personnes concernéesles utilisateurs réutiliseront immédiatement tous leurs identifiants, jetons ou clés situés dans des variables d'environnement dans leurs processus CI qui utilisaient l'un des Bash Uploaders de Codecov », a conclu Engelberg.
Voir aussi:
- Création de la première carte précise du monde. Quel est le problème avec tout le monde?
- Les scientifiques ont décodé des signaux étranges depuis l'espace
- Uranus a reçu le statut de planète la plus étrange du système solaire. Pourquoi?