Разработчики Codecov предупредили, что неизвестные злоумышленники сумели скомпрометирвоать платформу компании и добавить сборщик учетных данных к одному из инструментов. Компрометация коснулась продукта Bash Uploader, который позволяет клиентам Codecov передавать отчеты о покрытии кода для анализа.
Известно, что хакер получил доступ к скрипту Bash Uploader еще 31 января 2021 года и постепенно вносил в него изменения, добавляя вредоносный код, который перехватывал загрузки, обнаруживал и собирал любую конфиденциальную информацию, включая учетные данные, токены и ключи. Судя по всему, точкой входа для хакера стала ошибка, допущенная разработчиками в процессе создания образа Docker Codecov, которая позволила атакующему извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader.
Взлом был обнаружен 1 апреля 2021 года, и теперь разработчики, вместе со сторонними криминалистами занимаются расследованием инцидента. Компания сообщает, что уже уведомила о случившемся своих клиентов, в число которых входят такие гиганты, как Atlassian, P&G, GoDaddy, Washington Post, Tile, Dollar Shave Club и Webflow.
Ситуация усугубляет тем, что скрипт Bash Uploader встроен во многие другие продукты, в том числе actions-загрузчик Codecov для Github, Codecov CircleCl Orb, а также Codecov Bitrise Step.
Теперь клиентам Codecov, которые использовали любой из перечисленных инструментов, рекомендуется изменить все учетные данные, которые они передавали «по воздуху» на платформы Codecov за последние два с половиной месяца. Тем, кто использовал Bash Uploader локально, так же рекомендуется проверить свою версию на предмет вредоносных изменений и, если нужно, заменить ее "чистым" скриптом последней версии.