Представители Rapid7 сообщили, злоумышленники получили доступ к исходному коду компании после недавнего взлома онлайн-платформы для тестирования ПО Codecov. Ранее о компрометации из-за этой атаки на цепочку поставок также сообщали разработчики софта из компании Hashicorp, облачный провайдер Confluent и сервис голосовых вызовов Twilio.
Напомню, что в январе текущего года неизвестные злоумышленники сумели скомпрометировать Codecov и добавили сборщик учетных данных к одному из инструментов. Компрометация коснулась продукта Bash Uploader, который позволяет клиентам Codecov передавать отчеты о покрытии кода для анализа. При этом взлом был обнаружен только 1 апреля 2021 года.
Хакер получил доступ к скрипту Bash Uploader 31 января и постепенно вносил в него изменения, добавляя вредоносный код, который перехватывал загрузки, обнаруживал и собирал любую конфиденциальную информацию, включая учетные данные, токены и ключи. Точкой входа для злоумышленника стала ошибка, допущенная разработчиками в процессе создания образа Docker Codecov, которая позволила хакеру извлечь учетные данные, необходимые для внесения изменений в Bash Uploader.
На этой неделе представители Rapid7 заявили, что в компании использовался всего один экземпляр Codecov Bash Uploader, который применялся «на одном CI-сервере для тестирования и создания ряда внутренних инструментов для службы Managed Detection and Response». Однако злоумышленникам хватило и одного сервера.
«Неавторизованная сторона получила доступ к небольшому подмножеству наших репозиториев с исходным кодом для внутренних инструментов MDR. Эти репозитории содержали внутренние учетные данные, которые уже были обновлены, а также данные, связанные с предупреждениями, для ряда наших клиентов, использующих MDR», — гласит заявление компании.
Хотя известно, что злоумышленники обращались к исходному коду компании, сообщается, они не изменяли исходники и не вмешивались в работу прочих корпоративных систем и производственных сред.
Похоже, Rapid7 пострадала из-за взлома Codecov сильнее других компании. Так, ранее сообщалось, что Hashicorp пришлось сменить приватный ключ GPG; в случае Confluent хакеры получили доступ к учетной записи GitHub, доступной только для чтения; а Twilio заявила, что доступа к конфиденциальным данным злоумышленники не получили вовсе.
Впрочем, еще в прошлом месяце ИБ-эксперты предупреждали, что взлом с Codecov мог затронуть сотни или даже тысячи компаний, однако обнаружение и расследование этих вторжений может занять недели и месяцы.