CodeCov漏洞会带来下一次大规模软件供应链攻击?最新消息是,软件审计平台Codecov被黑。此次事件可能影响其2.9万家客户,并引发大量企业链数据泄露,引发“供应链”的又一次重大安全危机。下游用户面临安全危机。从1月31日开始,黑客针对Codecov,利用Codecov的Docker镜像创建过程中的错误,非法获取其BashUploader脚本并进行修改。这意味着攻击者极有可能导出存储在Codecov用户的持续集成(CI)环境中的信息,并最终将信息发送到Codecov基础设施之外的第三方服务器。1618803869_607cfc9da213e95995384.png!small?1618803871122严格来说,BashUploader脚本已被篡改,因此当用户执行BashUploader脚本时,攻击者可以访问通过其CI运行器传递的任何凭据、令牌或密钥。攻击者可以使用这些凭据、令牌或密钥来访问任何服务、数据存储和应用程序代码。使用BashUploaders将coverage上传到CI中Codecov仓库的gitremote(原始仓库的URL)。这一事件对于Codecov用户来说无异于一场灾难。首先,Codecov不是一家上市公司。它只有几十名员工,年收入数百万美元。与SolarWinds和微软相比,它似乎并没有太大的吸引力。因此可以合理判断,攻击者入侵平台更多是出于供应链攻击的考虑,获取其客户的访问权对攻击者来说更有价值。据悉,由于Codecov被业内多家公司用于测试代码错误和漏洞,其客户包括消费品集团宝洁公司、网络托管公司GoDaddyInc、华盛顿邮报和澳大利亚软件公司AtlassianCorporationPLC。虽然目前还没有相关受害者发表声明,但攻击者很可能已经“有所收获”。入侵持续了至少2个月。攻击从1月31日开始,但4月1日第一位客户发现不对劲。这意味着被攻陷的软件已经正常流通了几个月,潜在受害者不计其数。目前,FBI正在调查此事,但暂时没有公开说明此事。Codecov已保护和修复可能受影响的脚本,并通过电子邮件向受影响的用户发送电子邮件。不过,这些用户的信息暂时没有公开。1618803862_607cfc96a2db49aa0fbf0.png!small?1618803864038此次Codecov入侵事件的威胁程度可能堪比SolarWinds黑客事件,与过去更频繁的供应链攻击事件相比,进一步证明代码审查和签名变得极其重要,并且围绕这些代码签名密钥存储和处置的透明度将是建立渠道信任的关键步骤。最后,建议所有受影响的用户在使用Codecov的BashUploaders程序的CI过程中立即重新滚动其环境变量中的任何凭证、令牌或密钥。
