Wśród potencjalnych klientów platformy Codecov, która służy do testowania kodu, mogą być
Dyrektor generalny platformy Jerrod Engelberg w swoimW odwołaniu wyjaśniono, że atakujący uzyskał nieautoryzowany dostęp do firmowego skryptu Bash Uploader i zmodyfikował go, co pozwoliło mu potencjalnie uzyskać dostęp do wszelkich poświadczeń, tokenów lub kluczy przechowywanych w środowiskach ciągłej integracji klienta, a także do wszelkich usług i magazynów danych. . Wynikowe dane zostały następnie przesłane na serwer innej firmy poza Codecov.
Firmowy Bash Uploader jest również używany w trzech powiązanych programach do przesyłania: Codecov-actions uploader dla Github, Codecov CircleCl Orb i Codecov Bitrise Step. Wszyscy też cierpieli.
„Haker uzyskał dostęp z powodu błędu w procesiestworzenie obrazu Docker Codecov, który pozwolił mu wyodrębnić dane uwierzytelniające potrzebne do zmodyfikowania naszego skryptu Bash Uploader ”- powiedział Engelberg. „Natychmiast po tym, jak dowiedział się o problemie, Codecov zabezpieczył i naprawił podatny skrypt i zaczął badać potencjalny wpływ na użytkowników”.
Po zbadaniu incydentu firmaustaliła, że osoba atakująca okresowo wprowadzała zmiany w skrypcie Bash Uploader od 31 stycznia tego roku. Codecov dowiedział się o włamaniu 1 kwietnia, kiedy klient wykrył i zgłosił niespójność w programie do przesyłania Bash.
„Zdecydowanie zalecamy, aby poszkodowaniużytkownicy będą natychmiast ponownie używać wszystkich swoich danych uwierzytelniających, tokenów lub kluczy znajdujących się w zmiennych środowiskowych w ich procesach CI, które korzystały z jednego z Bash Uploaders firmy Codecov ”- podsumował Engelberg.
Zobacz także:
- Stworzono pierwszą dokładną mapę świata. Co jest nie tak ze wszystkimi innymi?
- Naukowcy odkodowali dziwne sygnały z kosmosu
- Uran uzyskał status najdziwniejszej planety w Układzie Słonecznym. Dlaczego?