Codecov供应链攻击的受害者名单还在持续

程序审计平台Codecov遭黑客攻击，该事件可能影响其2.9万名客户，并且引发大量公司连锁数据泄露，造成又一起”供应链“重大安全危机。Codecov提供的工具使开发人员能够了解测试期间执行的源代码数量(代码覆盖率)，以帮助他们开发更可靠、更安全的程序产品。

但是，该公司的一个Docker文件发生错误，使攻击者可以窃取凭据并修改客户使用的Bash Uploader脚本。

最初安全专家认为攻击仅影响Codecov，现在，该事件已被认定是供应链攻击，复杂性堪比SolarWinds供应链攻击。

尽管事件是在4月1日才发现的，但Codecov表示：

自1月31日起，就有第三方对我们的Bash Uploader脚本进行未授权的定期更改。

从1月31日开始，黑客就已经对Codecov发起了攻击，利用Codecov的Docker映像创建过程中出现的错误，非法获得了其Bash Uploader脚本的访问权限并且进行了修改。而这意味着攻击者很有可能导出存储在Codecov用户的持续集成(CI)环境中的信息，最后将信息发送到Codecov基础架构之外的第三方服务器。

此次事件对于Codecov的用户来说就是灭顶之灾。首先，Codecov并不是一家公开上市的公司，相比SolarWinds和Microsoft显得不具备太大的吸引力。因此，攻击者的目的更多是作为供应链攻击的考虑，获取其客户的访问权限对攻击者来说更有价值。

根据调查，这次攻击已经导致数百个Codecov客户的网络被访问。Codecov的客户规模高达2.9万，其中包括许多大型科技品牌，例如IBM、Google、GoDaddy和HP，以及媒体发行商《华盛顿邮报》和知名消费品公司(宝洁)等。

最近开源程序工具和保险柜制造商HashiCorp披露了由于最近的Codecov攻击而发生的安全事件。

Codecov的客户HashiCorp表示，最近的Codecov供应链攻击旨在收集开发人员凭证，导致HashiCorp的GPG签名密钥被被泄漏。

这个密钥被HashiCorp用来签名和验证程序发布，作为预防措施，它已经被轮换使用。经过调查最近的Codecov供应链攻击已经影响了HashiCorp持续集成(CI)管道的一个子集，从而导致HashiCorp用来签名和验证程序发布的GPG密钥被泄漏。

Codecov为超过29,000个客户提供程序测试和代码覆盖服务。

4月1日，Codecov得知，由于Docker镜像存在漏洞，攻击者获得了客户使用的Bash Uploader脚本的凭据。

使用一行恶意代码修改了Bash Uploaders，这行代码将环境变量和从一些客户的CI/CD环境中收集的密钥泄露给了一个受攻击者控制的服务器。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!