凭证涂抹代码在bash上载脚本中徘徊了几个月
发现凭证偷走后,已警告用户要立即采取行动后门那活跃了三个月。
一个陈述提供一系列软件代码测试产品的Codecov,确认一个未知方可以访问其Bash Uploader脚本,并在未经许可的情况下进行了更改。
这些更改包括种植恶意代码,偷走了秘密身份验证令牌和其他敏感数据并将其发送到由黑客控制的远程站点。
获得访问权限
他们由于一个脆弱性在Codecov的Docker图像创建过程中,该过程允许演员提取修改脚本所需的凭据。
一项调查发现,第三方对脚本进行了“定期,未经授权的更改”,这使他们能够潜在地导出存储在用户连续集成(CI)环境中的信息。
然后,根据新闻稿,该信息被发送到Codecov基础架构之外的第三方服务器:
“ bash上载程序也用于这些相关上传器:github的Codecov-actions上传器,Codecov CircleCl Orb和Codecov Bitrise步骤(一起,“ bash uploaders”)。因此,这些事件也受到了这些相关的上传者的影响。
攻击表面
发现未经授权的访问是在1月31日进行的。在4月1日发现该问题后,Codecov表示立即纠正了该脚本,并开始调查对用户的任何潜在影响。
Codecov还警告说,bash上载程序的其他更改也可能影响客户通过其CI Runner的任何凭据,令牌或密钥,这些凭证是在执行Bash Uploader脚本时可访问的。
此外,可能会受到影响的任何服务,数据存储和应用程序代码,可以使用这些凭据,代币或键访问,以及使用BASH上传器的存储库的GIT远程信息将上传覆盖范围上传到CI中的CODECOV。
读FEDS ZAP Exchange Server Backdoors作为Microsoft提供了用于进一步缺陷的补丁程序
已建议用户“立即重新滚动其在CI过程中使用Codecov的bash上载器之一的环境变量中的所有凭据,令牌或键”。
有关脚本的特定更改的更多信息,请参见Codecov的声明。
该问题已报告给执法部门,Codecov表示已通过电子邮件向任何认为可能受到影响的用户发送电子邮件。
