Компрометация Bash Uploader Codecov
Что такое Компрометация Bash Uploader Codecov?
Компрометация Bash Uploader CodecovАтака на цепочку поставок в апреле 2021 года: злоумышленники изменили Bash Uploader Codecov и выгружали CI/CD-секреты у тысяч клиентов.
В апреле 2021 года компания Codecov, занимающаяся покрытием кода, сообщила, что с января 2021 года её скрипт Bash Uploader был незаметно изменён атакующими, воспользовавшимися ошибкой в процессе создания их Docker-образа. Троянизированный uploader пересылал переменные окружения (включая токены, ключи и учётные данные) из CI/CD-пайплайнов клиентов на инфраструктуру атакующих. Codecov применяют тысячи организаций, в том числе крупные SaaS-, финтех- и security-вендоры; последствия включали ротацию секретов в HashiCorp, Twilio, Rapid7 и других, а также вторичные вторжения. Инцидент подчеркнул риск доверия непрозрачным CI-скриптам и подтолкнул к временным секретам сборок и подписанным CI-инструментам.
● Примеры
- 01
Стартап обнаруживает, что открытые в CI AWS-ключи были выгружены, и ротирует все учётные данные, проходившие через Codecov.
- 02
Вендор переходит с bash-uploader на версионированный и подписанный action после раскрытия инцидента.
● Частые вопросы
Что такое Компрометация Bash Uploader Codecov?
Атака на цепочку поставок в апреле 2021 года: злоумышленники изменили Bash Uploader Codecov и выгружали CI/CD-секреты у тысяч клиентов. Относится к категории Уязвимости в кибербезопасности.
Что означает Компрометация Bash Uploader Codecov?
Атака на цепочку поставок в апреле 2021 года: злоумышленники изменили Bash Uploader Codecov и выгружали CI/CD-секреты у тысяч клиентов.
Как работает Компрометация Bash Uploader Codecov?
В апреле 2021 года компания Codecov, занимающаяся покрытием кода, сообщила, что с января 2021 года её скрипт Bash Uploader был незаметно изменён атакующими, воспользовавшимися ошибкой в процессе создания их Docker-образа. Троянизированный uploader пересылал переменные окружения (включая токены, ключи и учётные данные) из CI/CD-пайплайнов клиентов на инфраструктуру атакующих. Codecov применяют тысячи организаций, в том числе крупные SaaS-, финтех- и security-вендоры; последствия включали ротацию секретов в HashiCorp, Twilio, Rapid7 и других, а также вторичные вторжения. Инцидент подчеркнул риск доверия непрозрачным CI-скриптам и подтолкнул к временным секретам сборок и подписанным CI-инструментам.
Как защититься от Компрометация Bash Uploader Codecov?
Защита от Компрометация Bash Uploader Codecov обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Компрометация Bash Uploader Codecov?
Распространённые альтернативные названия: Атака на цепочку поставок Codecov.
● Связанные термины
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
- appsec№ 166
Безопасность CI/CD
Совокупность контролей, защищающих конвейеры непрерывной интеграции и поставки от компрометации, инъекций кода, утечки секретов и несанкционированных деплоев.