Compromiso del Bash Uploader de Codecov
¿Qué es Compromiso del Bash Uploader de Codecov?
Compromiso del Bash Uploader de CodecovIncidente de cadena de suministro de abril de 2021 en el que atacantes modificaron el script Bash Uploader de Codecov, exfiltrando secretos de CI/CD de miles de clientes.
En abril de 2021, la empresa de cobertura de codigo Codecov revelo que, desde enero de 2021, su script Bash Uploader habia sido modificado silenciosamente por atacantes que explotaron un error en el proceso de creacion de su imagen Docker. El uploader troyanizado enviaba variables de entorno, incluyendo tokens, claves y credenciales, desde los pipelines CI/CD de los clientes a infraestructura del atacante. Codecov es utilizado por miles de organizaciones, incluidos grandes proveedores SaaS, fintech y de seguridad; las consecuencias incluyeron la rotacion de secretos en HashiCorp, Twilio, Rapid7 y otros, ademas de intrusiones derivadas. El incidente subrayo el riesgo de confiar en scripts de CI opacos y promovio controles como secretos de build efimeros y herramientas CI firmadas.
● Ejemplos
- 01
Una startup descubre que sus claves AWS expuestas en CI fueron exfiltradas y rota todas las credenciales tocadas por Codecov.
- 02
Un proveedor migra del uploader por bash a una accion versionada y firmada tras la divulgacion.
● Preguntas frecuentes
¿Qué es Compromiso del Bash Uploader de Codecov?
Incidente de cadena de suministro de abril de 2021 en el que atacantes modificaron el script Bash Uploader de Codecov, exfiltrando secretos de CI/CD de miles de clientes. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa Compromiso del Bash Uploader de Codecov?
Incidente de cadena de suministro de abril de 2021 en el que atacantes modificaron el script Bash Uploader de Codecov, exfiltrando secretos de CI/CD de miles de clientes.
¿Cómo funciona Compromiso del Bash Uploader de Codecov?
En abril de 2021, la empresa de cobertura de codigo Codecov revelo que, desde enero de 2021, su script Bash Uploader habia sido modificado silenciosamente por atacantes que explotaron un error en el proceso de creacion de su imagen Docker. El uploader troyanizado enviaba variables de entorno, incluyendo tokens, claves y credenciales, desde los pipelines CI/CD de los clientes a infraestructura del atacante. Codecov es utilizado por miles de organizaciones, incluidos grandes proveedores SaaS, fintech y de seguridad; las consecuencias incluyeron la rotacion de secretos en HashiCorp, Twilio, Rapid7 y otros, ademas de intrusiones derivadas. El incidente subrayo el riesgo de confiar en scripts de CI opacos y promovio controles como secretos de build efimeros y herramientas CI firmadas.
¿Cómo defenderse de Compromiso del Bash Uploader de Codecov?
Las defensas contra Compromiso del Bash Uploader de Codecov combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Compromiso del Bash Uploader de Codecov?
Nombres alternativos comunes: Ataque a la cadena de suministro de Codecov.
● Términos relacionados
- attacks№ 1116
Ataque a la cadena de suministro
Ataque que compromete a un proveedor de software, hardware o servicios de confianza para llegar a sus clientes finales.
- appsec№ 166
Seguridad de CI/CD
Conjunto de controles que protegen los pipelines de integración y entrega continua frente a compromisos, inyección de código, fuga de secretos y despliegues no autorizados.