コードのテストに使用される Codecov プラットフォームの潜在的なクライアントには、次のものが含まれます。
プラットフォームCEOのJerrodEngelbergが異議申し立てでは、攻撃者が会社のBash Uploaderスクリプトに不正アクセスして変更したため、クライアントの継続的インテグレーション環境に保存されているクレデンシャル、トークン、キー、およびサービスやデータストアにアクセスできる可能性があると説明されました。 。結果のデータは、Codecovの外部のサードパーティサーバーに送信されました。
同社のBashUploaderは、GithubのCodecov-actionsアップローダー、Codecov CircleCl Orb、Codecov BitriseStepの3つの関連アップローダーでも使用されています。彼らも皆苦しんだ。
「プロセスのエラーにより、ハッカーがアクセスできるようになりました。BashUploaderスクリプトを変更するために必要な資格情報を抽出できるDockerCodecovイメージを作成しました」とEngelberg氏は述べています。 「この問題が判明した直後に、Codecovは脆弱なスクリプトを保護および修正し、ユーザーへの潜在的な影響の調査を開始しました。」
事件を調査した後、会社はは、攻撃者が今年の1月31日以降、BashUploaderスクリプトに定期的に変更を加えていると判断しました。 Codecovは、クライアントがBash Uploaderの不整合を発見して報告したとき、4月1日にハッキングに気づきました。
「影響を受ける人々に強くお勧めしますユーザーは、CodecovのBashアップローダーの1つを使用していたCIプロセスの環境変数にあるすべてのクレデンシャル、トークン、またはキーをすぐに再利用します」とEngelberg氏は結論付けました。
また見なさい:
-世界初の正確な地図を作成しました。他のみんなの何が問題になっていますか?
-科学者たちは宇宙からの奇妙な信号を解読しました
-天王星は、太陽系で最も奇妙な惑星のステータスを受け取りました。どうして?