根据有关事件的最新信息,DevOps工具提供商Codecov的安全漏洞已经影响到“数百”名客户。
美国调查人员正在调查此案Bash Uploader脚本。
这导致了存储在用户持续集成(CI)环境中的信息。
其中一名调查人员在匿名的情况下向新闻社表示,攻击者利用自动化手段收集凭据,并“突袭额外资源,“其中可能包括其他软件开发项目供应商(包括IBM)网络上托管的数据。
IBM发言人告诉路透社,截至目前,似乎没有任何“涉及客户的代码修改”或公司本身https://about.codecov.io/customers/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>占据了超过29000个企业客户。该组织还与开源社区和初创企业广泛合作。
4月1日发现了Bash Uploader脚本中的初始妥协和后门,影响了Codecov的全套“Bash Uploader”,包括用于Github的Codecov actions Uploader、Codecov CircleCl Orb,Codecov Bitrise步骤。
供应链攻击可能通过损害其他组织使用的资源而成为可能,可能导致窃取通过客户端CI运行的凭据、令牌和密钥,以及“可以使用这些凭据访问的服务、数据存储和应用程序代码”根据Codecov.
另外,使用Bash上传程序的原始存储库的url可能已经暴露了。
Codecov说这个问题已经SonicWall电子邮件安全中的零日漏洞正被积极利用
