16/04/21
Взлом инструмента для разработки ПО Codecov Bash Uploader произошел четыре месяца назад, но был обнаружен только 1 апреля.
Специалисты в области реагирования на инциденты безопасности стараются оценить риски, возникшие в результате атаки на цепочку поставок Codecov Bash Uploader, которая оставалась нераскрытой с начала года и привела к утечке токенов, ключей и учетных данных организаций по всему миру.
Разработчик заподозрил неладное, когда заметил несоответствие между значением хеш-суммы на GitHub и значением хеш-суммы, полученным из загруженного Bash Uploader.
«В четверг, 1 апреля 2021 года, нам стало известно, что кто-то получил несанкционированный доступ к нашему скрипту Bash Uploader и модифицировал его без нашего разрешения. Злоумышленнику удалось получить доступ благодаря ошибке в используемом Codecov процессе создания образа Docker, позволившей ему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader», - говорится в уведомлении Codecov.
Как показало расследование инцидента, с 31 января текущего года злоумышленники имели регулярный несанкционированный доступ к принадлежащему Codecov ключу от облачного хранилища Google (Google Cloud Storage, GCS). Благодаря этому им удалось модифицировать скрипт загрузчика с целью «потенциального экспорта информации, подлежащей непрерывной интеграции (CI), на сторонний сервер». В результате злоумышленники смогли экспортировать информацию из пользовательских сред CI на сторонний сервер за пределами инфраструктуры Codecov.
Bash Uploader используется в нескольких загрузчиках, в частности в Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step, которые также могли быть затронуты утечкой.
Модифицированная злоумышленниками версия скрипта Bash Uploader потенциально могла затронуть:
- Любые учетные данные, токены и ключи, передаваемые пользователями через средство для запуска CI, доступное в процессе выполнения скрипта Bash Uploader;
- Любые сервисы, хранилища данных и коды приложений, доступ к которым можно получить с помощью вышеупомянутых токенов, ключей или учетных данных;
- Информация git (URL-адрес оригинального репозитория) репозиториев, использующих скрипты Bash Uploader для загрузки оболочки в Codecov в CI.
По словам генерального директора Codecov Джеррода Энгельберга (Jerrod Engelberg), компания поменяла все соответствующие внутренние учетные данные, включая ключ, используемый для облегчения модификации Bash Uploader, а также провела аудит с целью определить, где и как был доступен ключ.
Codecov настоятельно рекомендует командам разработчиков программного обеспечения «немедленно сменить все учетные данные, токены или ключи, расположенные в переменных среды в процессе CI».
