Codecov Bash Uploader 改ざん事件
Codecov Bash Uploader 改ざん事件 とは何ですか?
Codecov Bash Uploader 改ざん事件2021 年 4 月のサプライチェーン事件で、攻撃者が Codecov の Bash Uploader スクリプトを改ざんし、数千の顧客の CI/CD シークレットを窃取した。
2021 年 4 月、コードカバレッジ企業 Codecov は、2021 年 1 月以降、Docker イメージ作成プロセスの不備を悪用した攻撃者により Bash Uploader スクリプトが密かに改変されていたと発表しました。トロイ化された uploader は、顧客の CI/CD パイプラインからトークン・キー・認証情報を含む環境変数を、攻撃者の管理する基盤へ送信していました。Codecov は SaaS、フィンテック、セキュリティを含む数千組織で使われており、HashiCorp、Twilio、Rapid7 などでのシークレット総入れ替えや後続侵入を招きました。本事件は不透明な CI スクリプトを信頼するリスクを浮き彫りにし、エフェメラルなビルドシークレットや署名付き CI ツールの導入を加速させました。
● 例
- 01
あるスタートアップは CI で露出した AWS キーが盗まれたことを発見し、Codecov に触れた全てのクレデンシャルをローテーションする。
- 02
ベンダーは公表後、bash パイプ型 uploader からバージョン固定の署名付き Action へ移行する。
● よくある質問
Codecov Bash Uploader 改ざん事件 とは何ですか?
2021 年 4 月のサプライチェーン事件で、攻撃者が Codecov の Bash Uploader スクリプトを改ざんし、数千の顧客の CI/CD シークレットを窃取した。 サイバーセキュリティの 脆弱性 カテゴリに属します。
Codecov Bash Uploader 改ざん事件 とはどういう意味ですか?
2021 年 4 月のサプライチェーン事件で、攻撃者が Codecov の Bash Uploader スクリプトを改ざんし、数千の顧客の CI/CD シークレットを窃取した。
Codecov Bash Uploader 改ざん事件 はどのように機能しますか?
2021 年 4 月、コードカバレッジ企業 Codecov は、2021 年 1 月以降、Docker イメージ作成プロセスの不備を悪用した攻撃者により Bash Uploader スクリプトが密かに改変されていたと発表しました。トロイ化された uploader は、顧客の CI/CD パイプラインからトークン・キー・認証情報を含む環境変数を、攻撃者の管理する基盤へ送信していました。Codecov は SaaS、フィンテック、セキュリティを含む数千組織で使われており、HashiCorp、Twilio、Rapid7 などでのシークレット総入れ替えや後続侵入を招きました。本事件は不透明な CI スクリプトを信頼するリスクを浮き彫りにし、エフェメラルなビルドシークレットや署名付き CI ツールの導入を加速させました。
Codecov Bash Uploader 改ざん事件 からどのように防御しますか?
Codecov Bash Uploader 改ざん事件 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Codecov Bash Uploader 改ざん事件 の別名は何ですか?
一般的な別名: Codecov サプライチェーン攻撃。