Potensielle kunder til Codecov-plattformen, som brukes til å teste kode, kan omfatte:
Plattformsjef Jerrod Engelberg i sinAppellen forklarte at angriperen fikk uautorisert tilgang til selskapets Bash Uploader-skript og endret det, noe som tillot ham å potensielt få tilgang til legitimasjon, tokens eller nøkler lagret i klientens kontinuerlige integrasjonsmiljøer, samt til alle tjenester og datalagre . De resulterende dataene ble deretter sendt til en tredjepartsserver utenfor Codecov.
Selskapets Bash Uploader brukes også i tre relaterte opplastere: Codecov-handlinger-opplasteren for Github, Codecov CircleCl Orb og Codecov Bitrise Step. De led alle også.
“Hackeren fikk tilgang på grunn av en feil i prosessenlage et Docker Codecov-bilde som tillot ham å trekke ut legitimasjonen som er nødvendig for å endre Bash Uploader-skriptet vårt, ”sa Engelberg. "Rett etter at det ble kjent om problemet, sikret og fikset Codecov det sårbare skriptet og begynte å undersøke potensiell innvirkning på brukerne."
Etter å ha undersøkt hendelsen, selskapethar bestemt at en angriper periodevis har gjort endringer i Bash Uploader-skriptet siden 31. januar i år. Codecov ble klar over hacket 1. april da en klient oppdaget og rapporterte en inkonsekvens i Bash Uploader.
“Vi anbefaler på det sterkeste at de berørtebrukere vil umiddelbart gjenbruke all legitimasjon, poletter eller nøkler som ligger i miljøvariabler i deres CI-prosesser som brukte en av Codecovs Bash Uploaders, ”konkluderte Engelberg.
Se også:
- Lag det første nøyaktige kartet over verden. Hva er galt med alle andre?
- Forskere har avkodet rare signaler fra verdensrommet
- Uranus har fått statusen til den merkeligste planeten i solsystemet. Hvorfor?