Codecov被駭恐殃及數百家企業 疑為國家駭客所為

程式碼測試SaaS業者Codecov上周被爆遭駭,駭客得以存取其內部網路竊取客戶資訊,可能和SolarWinds攻擊有關。

程式碼測試SaaS業者Codecov上周被爆遭駭,駭客得以存取其內部網路竊取客戶資訊,可能和SolarWinds攻擊有關。

Codecov是一家線上軟體測試平台,可整合客戶的GitHub專案以產生程式碼覆蓋率的報告及統計,受到2.9萬家企業客戶的青睞,當中包括P&G、華盛頓郵報、ISP及網域管理商GoDaddy。

BleepingComputer上周報導,Codecov遭到供應鏈攻擊。攻擊者從Codecov一個有漏洞的Docker映像檔取得存取憑證,之後用來修改Codecov企業客戶使用的Bash Uploader script。攻擊者將Bash Uploader script中的Codecov IP位址替換成自己的,藉此悄悄蒐集這家SaaS業者的客戶存在CI(continuous integration) 環境中的憑證,包括令牌、API金鑰及其他環境變項。

根據Codecov調查,今年一月底開始,它的Bush Uploader script遭未經授權人士定期變更。這使得攻擊者得以將用戶資訊洩露出去,但4月初一家客戶發現在Codecov網域及客戶GitHub上的雜湊不同,才發現此事。
此事引起美國政府的關注,調查是否和近日的SolarWinds攻擊有關,美國政府本周定調SolarWinds背後組織是俄羅斯情報局SVR。

根據聯邦政府的調查,Codecov攻擊者部署了自動化工具以利用它蒐集到的客戶網路憑證、密碼,成功存取數百家客戶的公司網路,藉此擴大其攻擊據點。

路透社周二報導,駭客還藉由Codecov駭入其他軟體開發工具業者,以及本身提供科技服務的公司,包括IBM。而利用透過Bash Uploader script蒐集到的客戶憑證,駭客還能取得其他數千個關鍵系統的帳密。

BleepingComputer看到使用Codecov的客戶和GitHub專案洋洋灑灑。

只要搜尋Codecov Bash Uploader script的連結,就會發現曾經及現在正使用該script的數千個專案。這不見得是說這些專案已被入侵,而是說目前情況不明,可能未來幾天會更清楚一點。

Codecov客戶包括IBM都表示沒發現程式碼遭到變更,不過也拒絕說明系統是否被入侵。

Jira及Confluence軟體供應商Atlassian則明白表示公司系統沒有被駭的跡象。此外,HPE則說還在持續調查。

FBI及國土安全部也未發表評論。

有使用上傳工具,包括Codecov-actions uploader for Github、 Codecov CircleCl Orb或 Codecov Bitrise Step的Codecov客戶,Codecov建議用戶重設憑證和金鑰,以及檢查系統是否有惡意活動的跡象。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416