吳明宜Codecov被駭恐殃及數百家企業 疑為國家駭客所為
程式碼測試SaaS業者Codecov上周被爆遭駭,駭客得以存取其內部網路竊取客戶資訊,可能和SolarWinds攻擊有關。
Codecov是一家線上軟體測試平台,可整合客戶的GitHub專案以產生程式碼覆蓋率的報告及統計,受到2.9萬家企業客戶的青睞,當中包括P&G、華盛頓郵報、ISP及網域管理商GoDaddy。
BleepingComputer上周報導,Codecov遭到供應鏈攻擊。攻擊者從Codecov一個有漏洞的Docker映像檔取得存取憑證,之後用來修改Codecov企業客戶使用的Bash Uploader script。攻擊者將Bash Uploader script中的Codecov IP位址替換成自己的,藉此悄悄蒐集這家SaaS業者的客戶存在CI(continuous integration) 環境中的憑證,包括令牌、API金鑰及其他環境變項。
根據Codecov調查,今年一月底開始,它的Bush Uploader script遭未經授權人士定期變更。這使得攻擊者得以將用戶資訊洩露出去,但4月初一家客戶發現在Codecov網域及客戶GitHub上的雜湊不同,才發現此事。
此事引起美國政府的關注,調查是否和近日的SolarWinds攻擊有關,美國政府本周定調SolarWinds背後組織是俄羅斯情報局SVR。
根據聯邦政府的調查,Codecov攻擊者部署了自動化工具以利用它蒐集到的客戶網路憑證、密碼,成功存取數百家客戶的公司網路,藉此擴大其攻擊據點。
路透社周二報導,駭客還藉由Codecov駭入其他軟體開發工具業者,以及本身提供科技服務的公司,包括IBM。而利用透過Bash Uploader script蒐集到的客戶憑證,駭客還能取得其他數千個關鍵系統的帳密。
只要搜尋Codecov Bash Uploader script的連結,就會發現曾經及現在正使用該script的數千個專案。這不見得是說這些專案已被入侵,而是說目前情況不明,可能未來幾天會更清楚一點。
Codecov客戶包括IBM都表示沒發現程式碼遭到變更,不過也拒絕說明系統是否被入侵。
Jira及Confluence軟體供應商Atlassian則明白表示公司系統沒有被駭的跡象。此外,HPE則說還在持續調查。
FBI及國土安全部也未發表評論。
有使用上傳工具,包括Codecov-actions uploader for Github、 Codecov CircleCl Orb或 Codecov Bitrise Step的Codecov客戶,Codecov建議用戶重設憑證和金鑰,以及檢查系統是否有惡意活動的跡象。