Как стало известно в начале текущей недели, неизвестные злоумышленники сумели скомпрометировать онлайн-платформу для тестирования ПО Codecov и добавили сборщик учетных данных к одному из инструментов. Компрометация коснулась продукта Bash Uploader, который позволяет клиентам Codecov передавать отчеты о покрытии кода для анализа.
Хакер получил доступ к скрипту Bash Uploader 31 января 2021 года и постепенно вносил в него изменения, добавляя вредоносный код, который перехватывал загрузки, обнаруживал и собирал любую конфиденциальную информацию, включая учетные данные, токены и ключи. Точкой входа для злоумышленника стала ошибка, допущенная разработчиками в процессе создания образа Docker Codecov, которая позволила хакеру извлечь учетные данные, необходимые для внесения изменений в скрипт Bash Uploader.
Взлом был обнаружен только 1 апреля 2021 года, и разработчики, вместе со сторонними криминалистами занимаются расследованием инцидента. Как сообщает Reuters, теперь исследователи пришли к выводу, что инцидент затронул сотни клиентских сетей, то есть атака была куда масштабнее, чем предполагалось изначально.
Проблема в том, что Codecov используют более 29 000 клиентов, в том числе такие известные компании, как GoDaddy, Atlassian, The Washington Post, Procter & Gamble (P&G) и так далее. По данным федеральных властей США, которые уже расследуют случившееся, злоумышленники использовали похищенные учетные данные клиентов для доступа к сотням сетей.
«Хакеры приложили дополнительные усилия, чтобы использовать Codecov для проникновения в сети других производителей ПО, а также компаний, которые сами предоставляют другим свои технологические услуги, включая IBM», — рассказал изданию анонимный источник, близкий к расследованию.
Bleeping Computer пишет, что список компаний и проектов на GitHub, использующих Codecov, обширен, и простой поиск ссылки скомпрометированного скрипта Bash Uploader позволяет выявить тысячи проектов, которые использовали или используют этот скрипт.
И хотя точный масштаб инцидента пока неизвестен, представители Atlassian и Hewlett Packard Enterprise уже сообщили журналистам, что провели проверки и не обнаружили никаких признаков компрометации своих систем.
