Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Хакеры получили доступ к исходному коду Rapid7 в результате взлома Codecov

17/05/21

rapid7-1Как сообщила компания Rapid7, неизвестные злоумышленники получили доступ к небольшой части ее репозиториев с исходным кодом в результате взлома инструмента для разработки ПО от стартапа Codecov.

«Неавторизованная сторона за пределами Rapid7 получила несанкционированный доступ к небольшому подмножеству наших репозиториев исходного кода внутренних инструментов для нашей службы Managed Detection and Response. Эти репозитории содержали некоторые внутренние учетные данные, которые были заменены, и связанные с предупреждениями данные для подгруппы наших клиентов MDR», - говорится в уведомлении Rapid7.

15 апреля 2021 года разработчик инструментов для аудита ПО, стартап Codecov, предупредил пользователей своего инструмента Bash Uploader о том, что 31 января неизвестные заразили инструмент бэкдором. Как выяснилось позднее, в результате инцидента злоумышленники смогли получить доступ к сетям сотен клиентов Codecov.

Злоумышленникам удалось получить доступ к сетям Codecov из-за допущенной стартапом ошибки в процессе создания образа Docker, которая позволила им извлечь учетные данные, необходимые для изменения скрипта Bash Uploader. Хакеры осуществляли «периодические несанкционированные изменения» в коде, что позволяло им пересылать на сторонний сервер информацию, хранящуюся в средах непрерывной интеграции (CI) пользователей скрипта.

Согласно уведомлению Rapid7, никаких свидетельств того, что злоумышленникам удалось осуществить доступ к другим корпоративным системам или производственным средам или что в эти репозитории были внесены какие-либо вредоносные изменения, обнаружено не было. По словам компании, использование Bash Uploader было ограничено одним сервером CI, предназначенным для тестирования и создания некоторых внутренних инструментов для службы MDR.

Подробнее: https://www.securitylab.ru/news/520115.php

Темы:Преступленияисходный кодCodecov
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...