可公开的软件开发工具包含恶意代码,阐述了应用程序需要访问敏感资源的身份验证凭据,在电源链攻击的最新启示中有可能抵消无数组织网络的潜力。
该工具开发人员周四表示,CodeCov Bash上传者从1月底到4月初的后门。后门导致开发人员计算机将秘密认证令牌和其他敏感数据发送到由黑客控制的远程站点。上传器与开发平台一起工作,包括GitHub操作,Circleci和Bitrise步骤,所有这些都支持在开发环境中具有此类秘密身份验证令牌。
CodeCov Bash上传者执行大规模软件开发项目的代码覆盖范围。它允许开发人员发送覆盖报告,其中包括内部测试脚本测试了多少代码库。一些开发项目将Codecov和类似的第三方服务集成到其平台中,在那里可以免费访问可用于窃取或修改源代码的敏感凭据。
代码将GitHub存储库位置和整个流程环境发送到远程站点,因为CodeCov表示这是正在进行的联邦调查的一部分。这些类型的环境通常在亚马逊Web服务或Github中存储令牌,凭据和软件的其他秘密。
HD Moore,网络发现平台隆隆声的安全专家和首席执行官,武装攻击者可以对攻击者可以做攻击者可以对依赖于工具的开发环境。
“它真的取决于环境中的内容,而是从攻击者访问(通过Bash Uploader)的那一点,他们可能已经能够在它运行的系统上种植后门,”他用ARS的直接留言写道。 “对于github / circleci,这主要是曝光的源代码和凭据。”
除令牌之外,攻击者可能最终结束了一堆AWS和其他云凭证,这些令牌可以让他们访问私人存储库,其中包括源代码,也可以授权令牌的所有其他内容。在极端,这些凭据将是自我延续的 - 攻击者使用被盗的Github令牌来回到源代码,然后窃取下游客户数据等。同样可以应用于AWS和其他云凭证。如果允许的凭据,它们可以启用基础结构收购,数据库访问,文件访问等。
在星期四的咨询中,Codecov表示,Bash上传者的恶意版本可以访问:
我们客户通过其CI跑步者传递的任何凭据,令牌或钥匙,当执行Bash上传者脚本时可以访问。
可以使用这些凭据,令牌或键访问的任何服务,数据存储和应用程序代码。
使用BASH上传器将CodeCov上载到CI中载覆盖库的Git远程信息(原点存储库的URL)。
“基于迄今为止的法医调查结果,似乎有周期性,未经授权访问Google云存储(GCS)键,从2011年1月31日开始,它允许恶意第三方更改我们的Bash上传者脚本的版本Codecov表示,潜在地将信息导出到第三方服务器的持续集成(CI),“ “CodeCov获得并修复了2021年4月1日的脚本。”
Codecov咨询说,CodeCov的Docker图像创建过程中的错误允许黑客提取修改Bash上传器脚本所需的凭据。
篡改在4月1日由一个人发现,该客户发现充当数字指纹的Shasum以确认Bash Uploader的完整性与从https://codecov.io/bash下载的版本的Shasum匹配。客户联系了Codecov,工具制造商拉动了恶意版并开始调查。
CodeCov呼救在受影响期间使用Bash更新程序的人撤消CI进程中的所有凭据,令牌或键并创建新的凭据,令牌或键。开发人员可以通过在CI管道中运行env命令来确定哪些键和令牌存储在CI环境中。返回的任何敏感或海盗信息都应被视为损害。
此外,任何使用本地存储版Bash上传者的人都应检查以下内容:
如果这些命令出现在本地存储的Bash上传器中的任何位置,则用户应立即将其替换为来自https://codecov.io.bash的最新版本。
Codecov表示,使用自托管版本的Bash更新的开发人员不太可能受到影响。 “要受到影响,您的CI管道需要从https://codecov.io/bash获取Bash上传者而不是从自托管的CodeCov安装中获取。公司说,您可以从您获取Bash上传器的位置验证。“
CODECOV软件开发和分销系统的妥协是最新的供应链攻击来亮起。 12月,在世界各地约有30万个组织的网络管理工具中使用了类似的妥协Hit Solarwinds,奥斯汀,德克萨斯州网络管理工具制造商,包括财富500强公司和政府机构。执行违规的黑客然后分发了一个由约18,000名客户下载的后续更新。大约10个美国联邦机构和约100家私营公司最终收到了向攻击者控制服务器发送敏感信息的后续有效载荷。 Fireeye,Microsoft,Mimecast和Malwarebytes都在广告系列中席卷。
最近的黑客开展了一种软件供应链攻击,用于使用Noxplayer的人们在人们计算机上安装监控恶意软件,这是一种在PC和Mac上模拟Android操作系统的软件包,主要是用户可以在这些平台上播放手机游戏。 ESET的研究人员说,研究人员可以获得五个月的诺克斯特·诺克斯特的倒退版本。供应链攻击对黑客的吸引力是他们的广度和有效性。通过损害软件供应中的单个玩家,黑客可能会感染使用篡改产品的人或组织。黑客找到有益的另一个特征:通常很少或没有任何目标可以做出以这种方式分布的恶意软件,因为数字签名将表明它的合法性'
然而,在回到摩擦更新版本的情况下,CodeCov或其任何客户都是轻松的,以便通过检查Shasum而不是检查恶意。恶意版权传递三个月的能力表明没有人困扰执行这个简单的检查。
在1月31日至4月1日之间使用了Bash更新的人应仔细检查他们的发展,以便通过遵循周四咨询所概述的步骤来为妥协的迹象。