Potentiella kunder till Codecov-plattformen, som används för att testa kod, kan vara:
Plattformschef Jerrod Engelberg i sinÖverklagandet förklarade att angriparen fick obehörig åtkomst till företagets Bash Uploader-skript och modifierade det, vilket gjorde det möjligt för honom att potentiellt få tillgång till alla referenser, tokens eller nycklar som lagrats i klientens kontinuerliga integrationsmiljöer samt till alla tjänster och datalagrar . Den resulterande informationen skickades sedan till en tredjepartsserver utanför Codecov.
Företagets Bash Uploader används också i tre relaterade uppladdare: Codecov-action-uppladdaren för Github, Codecov CircleCl Orb och Codecov Bitrise Step. De led också alla.
”Hackaren fick tillgång på grund av ett fel i processenskapa en Docker Codecov-bild som gjorde det möjligt för honom att extrahera de uppgifter som behövdes för att modifiera vårt Bash Uploader-skript, säger Engelberg. "Omedelbart efter det att det blev känt om problemet, säkrade och fixade Codecov det sårbara skriptet och började undersöka eventuella effekter på användarna."
Efter att ha undersökt händelsen, företagethar fastställt att angriparen regelbundet har gjort ändringar i Bash Uploader-skriptet sedan den 31 januari i år. Codecov blev medveten om hacket den 1 april när en klient upptäckte och rapporterade en inkonsekvens i Bash Uploader.
”Vi rekommenderar starkt att de drabbadeanvändare kommer omedelbart att återanvända alla sina referenser, tokens eller nycklar i miljövariabler i sina CI-processer som använde en av Codecovs Bash Uploaders, avslutade Engelberg.
Se även:
- Skapade den första exakta världskartan. Vad är fel med alla andra?
- Forskare har avkodat konstiga signaler från rymden
- Uranus har fått status som den konstigaste planeten i solsystemet. Varför?