Compromission du Bash Uploader de Codecov
Qu'est-ce que Compromission du Bash Uploader de Codecov ?
Compromission du Bash Uploader de CodecovIncident d'avril 2021 sur la chaine logicielle ou des attaquants ont modifie le script Bash Uploader de Codecov, exfiltrant les secrets CI/CD de milliers de clients.
En avril 2021, l'entreprise de couverture de code Codecov a revele que son script Bash Uploader avait ete silencieusement modifie depuis janvier 2021 par des attaquants exploitant une erreur dans son processus de creation d'image Docker. L'uploader troyanise renvoyait des variables d'environnement, dont des tokens, cles et identifiants, depuis les pipelines CI/CD des clients vers l'infrastructure des attaquants. Codecov est utilise par des milliers d'organisations, dont de grands editeurs SaaS, fintech et de securite ; les consequences ont inclus la rotation de secrets chez HashiCorp, Twilio, Rapid7 et d'autres, ainsi que des intrusions secondaires. L'affaire a souligne les risques des scripts CI opaques et accelere les controles comme secrets de build ephemeres et outillage CI signe.
● Exemples
- 01
Une startup decouvre que ses cles AWS exposees en CI ont ete exfiltrees et fait tourner toutes les credentials passees par Codecov.
- 02
Un editeur passe d'un uploader pipe en bash a une action versionnee et signee suite a la divulgation.
● Questions fréquentes
Qu'est-ce que Compromission du Bash Uploader de Codecov ?
Incident d'avril 2021 sur la chaine logicielle ou des attaquants ont modifie le script Bash Uploader de Codecov, exfiltrant les secrets CI/CD de milliers de clients. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Compromission du Bash Uploader de Codecov ?
Incident d'avril 2021 sur la chaine logicielle ou des attaquants ont modifie le script Bash Uploader de Codecov, exfiltrant les secrets CI/CD de milliers de clients.
Comment fonctionne Compromission du Bash Uploader de Codecov ?
En avril 2021, l'entreprise de couverture de code Codecov a revele que son script Bash Uploader avait ete silencieusement modifie depuis janvier 2021 par des attaquants exploitant une erreur dans son processus de creation d'image Docker. L'uploader troyanise renvoyait des variables d'environnement, dont des tokens, cles et identifiants, depuis les pipelines CI/CD des clients vers l'infrastructure des attaquants. Codecov est utilise par des milliers d'organisations, dont de grands editeurs SaaS, fintech et de securite ; les consequences ont inclus la rotation de secrets chez HashiCorp, Twilio, Rapid7 et d'autres, ainsi que des intrusions secondaires. L'affaire a souligne les risques des scripts CI opaques et accelere les controles comme secrets de build ephemeres et outillage CI signe.
Comment se défendre contre Compromission du Bash Uploader de Codecov ?
Les défenses contre Compromission du Bash Uploader de Codecov combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Compromission du Bash Uploader de Codecov ?
Noms alternatifs courants : Attaque sur la chaine logicielle Codecov.
● Termes liés
- attacks№ 1116
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
- appsec№ 166
Sécurité CI/CD
Ensemble de contrôles qui protègent les pipelines d'intégration et de livraison continues contre la compromission, l'injection de code, la fuite de secrets et les déploiements non autorisés.