Codecov供应链攻击的受害者名单还在不断增加,美国联邦调查人员现在开始评估其影响,并引发大量公司链数据泄露,导致“供应链”又一次重大安全危机。Codecov提供的工具可以让开发者了解测试期间执行的源代码量(代码覆盖率),以帮助他们开发出更可靠、更安全的程序产品。然而,该公司的一个Docker文件中的一个漏洞允许攻击者窃取凭证并修改客户使用的Bash上传器脚本。安全专家最初认为该事件只会影响Codecov,但现在已将其确定为与SolarWinds供应链攻击复杂程度相当的供应链攻击。尽管该事件是在4月1日才被发现的,但Codecov表示:自1月31日以来,第三方未经授权定期更改我们的BashUploader脚本。自1月31日起,黑客对Codecov发起攻击,利用Codecov的Docker镜像创建过程中的错误,非法获取其BashUploader脚本的访问权并进行修改。而这意味着攻击者极有可能导出存储在Codecov用户的持续集成(CI)环境中的信息,并最终将信息发送到Codecov基础设施之外的第三方服务器。这一事件对Codecov用户来说是一场灾难。首先,Codecov并不是一家上市公司,与SolarWinds和微软相比似乎没有太大的号召力。因此,攻击者的目的更多地被认为是供应链攻击,获得对其客户的访问权对攻击者来说更有价值。越来越多的受害者根据调查,这次攻击已经导致数百个Codecov客户的网络被访问。Codecov拥有29,000家客户,包括IBM、Google、GoDaddy和HP等众多大型科技品牌,以及媒体出版商《华盛顿邮报》和知名消费品公司(宝洁)。开源编程工具和保险箱的制造商HashiCorp披露了由于最近的Codecov攻击而导致的安全事件。Codecov的客户HashiCorp表示,最近一次旨在获取开发人员凭证的Codecov供应链攻击导致HashiCorp的GPG签名密钥被泄露。HashiCorp使用此密钥来签署和验证程序发布,并已轮换以防万一。最近的Codecov供应链攻击影响了HashiCorp持续集成(CI)管道的一个子集,导致HashiCorp用于签署和验证程序发布的GPG密钥被泄露。Codecov为29,000多个客户提供程序测试和代码覆盖服务。4月1日,Codecov获悉,由于Docker镜像存在漏洞,攻击者获取了客户使用的BashUploader脚本的凭证。Bash上传器被恶意代码行修改,将从一些客户的CI/CD环境中收集的环境变量和密钥泄露到攻击者控制的服务器。在HashiCorp代码中使用CodecovBashUploader的实例由于这次对Codecov的攻击持续了大约两个月,HashiCorp的GPG密钥被泄露,用于验证用于验证HashiCorp产品下载的哈希值。尽管调查尚未找到未经授权使用泄露的GPG密钥的证据,但Codecov已轮换使用这些密钥以维护可信的签名机制。目前已经发布了一个新的GPG密钥对(指纹如下),从现在开始使用:C874011F0AB405110D02105534365D9472D7468F过去被破坏的GPG密钥对(如下所示)已被撤销:91A6E7F85D05C65630BEF18951852D87348FFC4CHashiCorp在安全事件披露中表示:“现有版本已经过验证并重新签名。”HashiCorp表示,该事件只影响了HashiCorp的SHA256SUM签名机制。示例HashiCorp版本中提供的SHA256SUM文件MacOS代码签名(公证)和HashiCorp版本的WindowsAuthentiCode签名均未受到泄漏密钥的影响。同样,对releases.hashicorp.com上可用的Linux软件包(Debian和RPM)进行签名也不受影响。HashiCorp的Terraform尚未打补丁但是,HashiCorp的公告确实声明他们的Terraform产品尚未打补丁以使用新的GPG密钥。Terraform是一种开源基础设施编码器工具,用于安全且可预测地创建、更改和改进基础设施。HashiCorp产品安全总监JamieFinnigan表示:Terraform在Terraform初始化操作期间自动下载提供者的二进制文件,并在此过程中执行签名验证。我们还将发布Terraform和相关工具的补丁版本,这些工具将在自动代码验证期间使用新的GPG密钥。在短期内,传输级TLS保护在初始化期间下载的官方Terraform提供程序二进制文件,Terraform及其提供程序可以使用新密钥和签名手动重新加密,如https://hashicorp.com/securityverify中所述。作为其事件响应活动的一部分,HashiCorp正在进一步调查是否从Codecov事件中泄露了更多信息,并计划随着调查的进展提供相关更新。正如BleepingComputer本周早些时候报道的那样,据报道,数百个Codecov客户端网络因CodecovBashUploader妥协而受到损害。美国联邦调查人员也已介入,并与Codecov及其客户合作调查此次攻击的全面影响。预计在未来几周内,各种Codecov客户将披露更多安全信息。目前,程序供应链攻击已经成为新的攻击增长趋势。就在昨天(4月24日),BleepingComputer报道称,多家世界500强客户使用的Passwordstate企业密码管理器遭到供应链攻击。据报道,一名神秘黑客破坏了企业密码管理器应用程序的更新机制,并在其用户(主要是企业客户)的设备上部署了恶意软件。丹麦安全公司CSIS于4月24日发布供应链恶意软件攻击分析,指出攻击者强制Passwordstate应用程序下载另一个名为“Passwordstate_update.zip”的压缩包,其中包含一个“moserware.secretsplitter.dll”动态链接库文件。一旦安装在受害机器上,DLL文件就会尝试ping远程命令和控制服务器,然后服务器会给出特定的响应,例如检索其他有效载荷。本文翻译自:https://www.bleepingcomputer.com/news/security/hashicorp-is-the-latest-victim-of-codecov-supply-chain-attack/如有转载请注明出处。
