Los atacantes comprometieron la herramienta del proveedor de verificación de código …



Un script utilizado para cargar informes confidenciales, con acceso a credenciales y almacenes de datos, probablemente envió información sobre cientos, posiblemente miles, de empresas a los atacantes.

En un ataque a la cadena de suministro de software que recuerda el compromiso de SolarWinds, atacantes desconocidos utilizaron una herramienta susceptible publicada por la firma de verificación de código Codecov durante poco más de dos meses para recopilar información confidencial de desarrollo de los clientes de la empresa.

Codecov, que proporciona herramientas y servicios para verificar qué tan bien las pruebas de program cubren el código en desarrollo, en un comunicado publicado el viernes advirtió que los atacantes habían modificado una herramienta de carga de línea de comandos para enviar también información confidencial a los atacantes. Los datos en riesgo incluyen credenciales, tokens de software y claves, y los datos y el código a los que se puede acceder con esos secretos, así como la información del repositorio remoto.

La firma recomendó que los clientes usaran un script para crear una lista de credenciales a las que podría acceder su application y considerar esas credenciales y secretos comprometidos.

«Si algo devuelto por ese comando se considera privado o confidencial, recomendamos encarecidamente invalidar la credencial y generar una nueva», dijo Jerrod Engelberg, director ejecutivo de Codecov, en un comunicado. «Además, le recomendamos que audite el uso de estos tokens en su sistema».

Codecov se enteró por primera vez de la infracción el 1 de abril, después de que un cliente informara una discrepancia en la suma de regulate utilizada para verificar la integridad y autenticidad de la herramienta. La compañía comenzó a investigar y ha traído a la policía federal, Codecov dijo en su declaración. Los atacantes probablemente tuvieron acceso al sistema desde fines de enero, según la investigación de la compañía. Si bien CodeCov no especificó cuántos clientes se vieron afectados por la violación, su sitio world wide web afirma que más de 29.000 empresas utilizan su servicio.

Una brecha en un proveedor de software program que podría haber afectado a miles de empresas clientes coloca el ataque directamente al nivel del compromiso de SolarWinds, dice Asaf Karas, cofundador y director de tecnología de Vdoo, una plataforma de seguridad de World wide web de las cosas.

«La violación del sistema Codecov es otro ejemplo que destaca la necesidad de verificar y escanear cualquier artefacto de program de terceros introducido en redes o aplicaciones empresariales, especialmente como parte de la cadena de construcción», dice. «Los scripts de Shell, en specific, no reciben suficiente atención y cobertura desde la perspectiva de las herramientas de seguridad, lo que los hace más explotables y útiles para los adversarios».

La violación se produjo cuando el atacante aprovechó una vulnerabilidad en el proceso que Codecov utilizó para crear imágenes de Docker para su propio desarrollo. El atacante extrajo la credencial necesaria para modificar una herramienta de línea de comandos, Bash Uploader, que el cliente usaba para enviar informes a la empresa. La herramienta, en cambio, envió informes a un servidor en un sitio de terceros.

Las cadenas de suministro de software program se han convertido en un objetivo importante de los atacantes. Cada vez más, los atacantes han intentado comprometer los componentes y proyectos de código abierto, utilizando técnicas como la typosquatting de dependencia o simplemente comprando un proyecto directamente. Además, los atacantes han comprometido el mecanismo de actualización del software ampliamente utilizado como una forma de entregar malware a los clientes, una técnica utilizada para difundir NotPetya, infectar a los usuarios de CCleaner de Piriform y comprometer a miles de empresas que usan Orion de SolarWinds.

Cargador de Bash armado

En el caso de Codecov, los atacantes convirtieron el Bash Uploader de la empresa, que normalmente se utiliza para enviar informes de escaneo de software program a la empresa, en un caballo de Troya, que también envía información sobre el entorno de program de la víctima, incluidas las credenciales necesarias para acceder a partes de ese entorno.

Hasta la noche del 15 de abril, la compañía se había puesto en contacto con los clientes afectados, pero enfatizó que su investigación está en curso.

«Todavía estamos evaluando activamente el impacto de este evento en nuestros clientes», dijo la compañía, y agregó: «Por precaución, si usó Bash Uploaders entre el 31 de enero de 2021 y el 1 de abril de 2021 y no realizó una validación de suma de comprobación del Bash Uploader, le sugerimos que vuelva a ejecutar todas sus credenciales, tokens o claves ubicadas en las variables de entorno en su proceso de CI «.

Codecov reemplazó el script malicioso a partir del 1 de abril y ha tomado una serie de pasos para defender su program y crimson, incluida la regeneración de todas las credenciales internas y claves de application y la auditoría de dónde y cómo se usó la clave filtrada, dijo la compañía. La firma también ha comenzado a monitorear el programa Bash Uploader para asegurarse de que no ocurra el mismo tipo de ataque en el futuro, dijo el CEO Engelberg en su comunicado.

Codecov se negó a proporcionar un comentario a Darkish Examining, más allá de su declaración pública. La compañía no ha atribuido el ataque a ningún grupo o estado-nación.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Reading through, MIT&#39s Technology Evaluate, Popular Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial