Среди потенциальных клиентов платформы Codecov, которую используют для тестирования кода, могли оказаться крупные компании: Atlassian, Proctor & Gamble, GoDaddy и Washington Post.
СЕО платформы Джеррод Энгельберг в своем обращении объяснил, что злоумышленник получил несанкционированный доступ к сценарию Bash Uploader компании и изменил его, что позволило ему потенциально получить доступ к любым учетным данным, токенам или ключам, хранящимся в средах непрерывной интеграции клиентов, а также к любым службам и хранилищам данных. Полученные данные затем отправлялись на сторонний сервер вне Codecov.
Bash Uploader компании также используется в трех связанных загрузчиках: загрузчике Codecov-actions для Github, Codecov CircleCl Orb и Codecov Bitrise Step. Все они тоже пострадали.
«Хакер получил доступ из-за ошибки в процессе создания образа Docker Codecov, которая позволила ему извлечь учетные данные, необходимые для изменения нашего сценария Bash Uploader», — рассказал Энгельберг. — «Сразу же после того, как стало известно о проблеме, Codecov обезопасил и исправил уязвимый сценарий и начал расследование любого потенциального воздействия на пользователей».
После расследования инцидента компания определила, что злоумышленник периодически вносил изменения в сценарий Bash Uploader, начиная с 31 января этого года. Codecov узнал о взломе 1 апреля, когда клиент обнаружил несоответствие в Bash Uploader и сообщил о нем.
«Мы настоятельно рекомендуем затронутым пользователям немедленно повторно использовать все свои учетные данные, токены или ключи, расположенные в переменных среды в их процессах CI, которые использовали один из Bash Uploaders от Codecov», — подытожил Энгельберг.
Читайте также
— Создана первая точная карта мира. Что не так со всеми остальными?
— Ученые расшифровали странные сигналы из космоса
— Уран получил статус самой странной планеты в Солнечной системе. Почему?