Puerta trasera encontrada en Codecov Bash Uploader


Puerta trasera encontrada en Codecov Bash Uploader

Desarrolladores tengo descubierto una puerta trasera en el cargador de bash de Codecov. Ha estado ahí durante cuatro meses. No sabemos quién lo puso allí.

Codecov dijo que la violación permitió a los atacantes exportar información almacenada en los entornos de integración continua (CI) de sus usuarios. Esta información luego se envió a un servidor de terceros fuera de la infraestructura de Codecov «, advirtió la empresa.

Bash Uploader de Codecov también se utiliza en varios cargadores: el cargador de acciones de Codecov para Github, Codecov CircleCl Orb y Codecov Bitrise Phase, y la compañía dice que estos cargadores también se vieron afectados por la infracción.

Según Codecov, la versión alterada del script Bash Uploader podría afectar potencialmente:

  • Todas las credenciales, tokens o claves que nuestros clientes estaban pasando a través de su corredor de CI que serían accesibles cuando se ejecutó el script Bash Uploader.
  • Cualquier servicio, almacén de datos y código de aplicación al que se pueda acceder con estas credenciales, tokens o claves.
  • La información remota de git (URL del repositorio de origen) de los repositorios que utilizan Bash Uploaders para cargar la cobertura en Codecov en CI.

Agregue esto a la larga lista de ataques recientes a la cadena de suministro.

Publicado el 21 de abril de 2021 a las 11:12 h. •
2 comentarios

Foto de la barra lateral de Bruce Schneier por Joe MacInnis.



Enlace a la noticia original