У четвер компанія Rapid7, що займається кібербезпекою, повідомила, що зловмисникам вдалося заволодіти невеликою частиною репозиторіїв вихідного коду після компрометації ланцюжка поставок програмного забезпечення, націленої на Codecov на початку цього року.

«До невеликої частини наших сховищ вихідного коду для внутрішніх інструментів для наших служб [Managed Detection and Response, MDR] було отримано доступ зловмисниками», – йдеться в повідомленні бостонської фірми. «Ці репозиторії містили деякі внутрішні облікові дані, які були оновлені, і дані, пов’язані з попередженнями, для підгрупи наших клієнтів MDR».

15 квітня стартап з аудиту програмного забезпечення Codecov повідомив клієнтів про те, що в утиліті Bash Uploader було виявлено бекдор ще 31 січня, який давав змогу отримати доступ до токені аутентифікації для різних внутрішніх облікових записів програмного забезпечення, що використовуються розробниками. Про інцидент стало відомо тільки 1 квітня.

«Зловмисник отримав доступ через помилки в процесі створення образу Docker в Codecov, яка дозволила йому витягти облікові дані, необхідні для зміни нашого сценарію Bash Uploader», – відзначили в компанії, додавши, що зловмисник виконував «періодичні несанкціоновані зміни» в коді, що дозволяло пересилати інформацію, що зберігається в середовищах безперервної інтеграції (CI) користувачів, на сторонній сервер.

Rapid7 наголосив, що немає ніяких доказів того, що був здійснений доступ до інших корпоративних систем або виробничих середовищ або, що в ці репозиторії були внесені будь-які зловмисні зміни. Компанія також додала, що використання сценарію Uploader було обмежено одним сервером CI, який використовувався для тестування і створення деяких внутрішніх інструментів для служби MDR.

В рамках розслідування інциденту компанія повідомила певну кількість клієнтів, які могли постраждати від злому. Через цю атаку Rapid7 приєднується до таких компаній, як HashiCorp, Confluent і Twilio, які на сьогоднішній день публічно підтвердили порушення їх системи безпеки.

Клієнтам Codecov, які використовували Bash Uploaders в період з 31 січня 2021 року по 1 квітня 2021 року рекомендується повторно запустити всі свої облікові дані, токени або ключі, розташовані в змінних середовища в їх процесах CI.