Взлом инструмента Codecov Bash Uploader привел к утечке данных организаций по всему миру

Взлом инструмента Codecov Bash Uploader привел к утечке данных организаций по всему миру

Взлом инструмента для разработки ПО Codecov Bash Uploader произошел четыре месяца назад, но был обнаружен только 1 апреля.

Специалисты в области реагирования на инциденты безопасности стараются оценить риски, возникшие в результате атаки на цепочку поставок Codecov Bash Uploader, которая оставалась нераскрытой с начала года и привела к утечке токенов, ключей и учетных данных организаций по всему миру.

Взлом инструмента для разработки ПО Codecov Bash Uploader произошел четыре месяца назад, но был обнаружен одним из его пользователей только 1 апреля. Разработчик заподозрил неладное, когда заметил несоответствие между значением хеш-суммы на GitHub и значением хеш-суммы, полученным из загруженного Bash Uploader.

«В четверг, 1 апреля 2021 года, нам стало известно, что кто-то получил несанкционированный доступ к нашему скрипту Bash Uploader и модифицировал его без нашего разрешения. Злоумышленнику удалось получить доступ благодаря ошибке в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader», - говорится в уведомлении Codecov.

Как показало расследование инцидента, с 31 января текущего года злоумышленники имели регулярный несанкционированный доступ к принадлежащему Codecov ключу от облачного хранилища Google (Google Cloud Storage, GCS). Благодаря этому им удалось модифицировать скрипт загрузчика с целью «потенциального экспорта информации, подлежащей непрерывной интеграции (CI), на сторонний сервер». В результате злоумышленники смогли экспортировать информацию из пользовательских сред CI на сторонний сервер за пределами инфраструктуры Codecov.

Bash Uploader используется в нескольких загрузчиках, в частности в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step, которые также могли быть затронуты утечкой.

Модифицированная злоумышленниками версия скрипта Bash Uploader потенциально могла затронуть:

  • Любые учетные данные, токены и ключи, передаваемые пользователями через средство для запуска CI, доступное в процессе выполнения скрипта Bash Uploader;

  • Любые сервисы, хранилища данных и коды приложений, доступ к которым можно получить с помощью вышеупомянутых токенов, ключей или учетных данных;

  • Информация git (URL-адрес оригинального репозитория) репозиториев, использующих скрипты Bash Uploader для загрузки оболочки в Codecov в CI.

По словам генерального директора Codecov Джеррода Энгельберга (Jerrod Engelberg), компания поменяла все соответствующие внутренние учетные данные, включая ключ, используемый для облегчения модификации Bash Uploader, а также провела аудит с целью определить, где и как был доступен ключ.

Codecov настоятельно рекомендует командам разработчиков программного обеспечения «немедленно сменить все учетные данные, токены или ключи, расположенные в переменных среды в процессе CI».

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум