Monday.com最近披露了Codecov供应链攻击的影响,该攻击已影响多家公司。http://monday.com原名Dapulse,是Wix的内部交流工具。Dapulse在全球85个国家拥有客户,拥有超过4,500名付费用户。但作为一家业务范围遍及全球的管理公司,Dapulse的品牌一直饱受诟病。不仅国外用户不知道“Dapulse”是什么意思,就连国内客户也对“Dapulse”的含义感到疑惑。Dapulse随后获得了域名http://Monday.com。http://Monday.com使SMB能够构建自定义工作流应用程序,以在无代码环境中运行项目、流程和例程。该公司还向希望在其上构建应用程序的开发人员开放该平台。http://monday.com是一款兼容性极佳的高效工具。它可以为自由设计师管理项目,也可以管理需要多人团队合作的项目。该平台目前的客户包括知名公司,如优步、BBCStudios、Adobe、环球、Hulu、欧莱雅、可口可乐和联合利华。正如BleepingComputer上个月报道的那样,流行的代码覆盖工具Codecov是为期两个月的供应链攻击的受害者。在这两个月的时间里,攻击者修改了合法的CodecovBashUploader工具,以从Codecov客户的CI/CD环境中窃取环境变量(包含密钥、令牌和凭据等敏感信息)。据报道,Codecov攻击者使用来自被篡改的Bash上传器的凭据破坏了数百个客户网络。在Codecov攻击中访问Monday.com的源代码Codecov客户Monday.com最近宣布其受到Codecov供应链攻击的影响。在本周向美国证券交易委员会(SEC)提交的一份表格中,该公司在周一分享了该网站首次公开募股(IPO)的详细信息。在对Codecov漏洞进行调查后,Monday.com发现未经授权的攻击者可以访问其源代码的只读副本。然而,该公司表示,到目前为止,没有证据表明攻击者篡改了源代码,或者其任何产品受到影响。此外,该公司表示:“攻击者确实获得了一个包含URL列表的文件的访问权限,以公开广播托管在我们平台上的客户表格和视图,我们已经联系了相关客户,就如何重新生成这些URL向他们提供建议。目前,没有迹象表明Monday.com客户的数据已受到该事件的影响,尽管该公司仍在继续调查。在本周向美国证券交易委员会提交的文件中披露之前,Monday.com曾表示他们删除了Codecov的访问权限在Codecov事件发生后,Monday.com的安全团队在一篇博文中表示:“当我们了解到这个问题时,我们立即采取了缓解措施,包括撤销对Codecov的访问权限、停止服务使用Codecov,轮换所有monday.com运营和开发环境,并聘请领先的网络安全取证专家协助我们进行调查。”Monday.com是Codecov漏洞的众多受害者之一Monday.com并不是第一家或唯一一家受到Codecov供应链攻击影响的公司。虽然Codecov的攻击在两个月内未被发现,但在被发现后攻击仍在继续。Codecov事件时间表(BleepingComputer)据BleepingComputer本周报道,美国网络安全公司Rapid7透露,他们的一些源代码存储库和凭据已被Codecov攻击者访问。上个月,HashiCorp宣布他们的GPG私钥在一次攻击中暴露。此密钥已用于签署和验证软件版本,因此必须对其进行更改。云通信平台Twilio、云服务提供商Confluent和保险公司Coalition也报告称,Codecov攻击者访问了他们的私有存储库。从那以后,其他几个Codecov客户不得不轮换他们的凭据。他们是否以及以何种身份受到影响仍然是个谜。在Codecov发现该漏洞之前,数以千计的开源项目使用了BashUploader:数以千计的存储库使用CodecovBashUploader自从将Codecov攻击与SolarWinds供应链攻击进行比较以来,美国联邦调查人员已介入调查其全部影响。Monday.com表示:“截至本招股书发布之日,我们没有发现任何证据表明我们的源代码遭到了任何未经授权的修改,也没有对我们的产品产生任何影响。但是,如果发现与Codecovnew或有关网络攻击的不同信息,包括其范围和对我们IT环境的任何潜在影响,包括丢失、意外披露或未经授权传播专有信息或关于我们或我们客户的敏感或机密数据,或我们源代码中可能存在的错误导致诉讼和我们的潜在责任,损害我们的品牌和声誉,对我们的销售产生负面影响,或损害我们的业务。任何索赔或调查都可能导致我们承担大量的外部和内部法律和咨询费用,以及管理人员从我们的业务运营中转移”上个月,Codecov开始向受影响的客户发送额外的通知,并披露了一份完整的妥协指标(IOC)列表,即与此次供应链攻击相关的攻击者的IP地址。Codecov用户应该扫描他们的CI/CD环境和网络以查找任何妥协的迹象。本文翻译自:https://www.bleepingcomputer.com/news/security/codecov-hackers-gained-access-to-mondaycom-source-code/
