Agenci federalni w USA badają naruszenie bezpieczeństwa w firmie Codecov, zajmującej się audytem oprogramowania – poinformował Reuters. W swoim oświadczeniu, CEO Codecov Jerrod Engelberg przyznał, że doszło do ataku hakerów, wskazując, że niepowołane osoby uzyskały dostęp do skryptu Bash Uploader i zmodyfikowały go bez zgody firmy. Wśród 29 tys. firm korzystających z usług Codecov są m.in. takie marki jak The Washington Post, GoDaddy, Tile oraz Procter & Gamble Co.
– Nasze dochodzenie wykazało, że od 31 stycznia 2021 r. miały miejsce okresowe, nieautoryzowane zmiany naszego skryptu Bash Uploader dokonane przez stronę trzecią, co umożliwiło im potencjalnie eksportowanie informacji przechowywanych w środowiskach ciągłej integracji (CI) naszych użytkowników – napisał w oświadczeniu CEO Codecov. – Ta informacja została następnie wysłana na serwer innej firmy poza infrastrukturą Codecov.
Według Codecov, modyfikacje skryptu Bash Uploader mogły potencjalnie wpłynąć m.in. na: wszelkie poświadczenia, tokeny lub klucze do runnera CI, które byłyby dostępne po wykonaniu skryptu Bash Uploader; usługi, magazyny danych i kody aplikacji, do których można uzyskać dostęp za pomocą tych poświadczeń, tokenów lub kluczy; zdalne informacje git (adres URL repozytorium pochodzenia) repozytoriów używających Bash Uploaders do przesłania pokrycia do Codecov w CI.
Zdaniem ekspertów z firmy Check Point, włamanie do Codecov (po niedawnym ataku SolarWinds Sunburst) to kolejny atak na łańcuch dostaw, który ujawnia luki w zabezpieczeniach oraz wyzwania bezpieczeństwa związane z cyklami błyskawicznego wydania, często spotykane podczas tworzenia nowoczesnych aplikacji.
Organizacje muszą mieć świadomość, że korzystanie z publicznych repozytoriów kodu i platform programistycznych, choć jest konieczne, niesie ze sobą nieodłączne ryzyko. W wielu przypadkach aplikacje są opracowywane albo bez odpowiednich kontroli bezpieczeństwa, albo w najlepszym przypadku z zabezpieczeniem włączanym dopiero na końcu cyklu rozwojowego – wyjaśniają specjaliści firmy Check Point.
Ze względu na najlepszą praktykę w zakresie bezpieczeństwa firma Check Point zaleca wszystkim swoim klientom zintegrowanie wykorzystania zautomatyzowanych narzędzi bezpieczeństwa z cyklem rozwoju aplikacji. Dzięki temu bezpieczeństwo staje się płynną i bezproblemową częścią procesu tworzenia oprogramowania oraz zapewnia dokładną identyfikację i naprawę wszelkich luk i zagrożeń.