Los investigadores federales de EE. UU. Se encuentran investigando una intrusión en la empresa de software Codecov, con sede en San Francisco, donde se comprometió uno de sus sistemas de script Bas Uploader por parte de un tercero y la información filtrada de sus clientes se envió a un servidor fuera de la infraestructura de Codecov.
El ataque ocurrió hace cuatro meses, el 31 de enero sin embargo la intrusión se detectó el 1 de abril de 2021, por un cliente, dijo la compañía en una nota reconociendo la gravedad de la violación.
“Inmediatamente después de darse cuenta del problema, Codecov aseguró y reparó el script afectado y comenzó a investigar cualquier impacto potencial en los usuarios. Se contrató a una firma forense de terceros para que nos ayude en este análisis. Hemos informado de este asunto a las fuerzas del orden y estamos cooperando plenamente con su investigación.” Informo en el comunicado Codevoc.
El actor de amenaza obtuvo acceso debido a un error en el proceso de creación de imágenes de Docker de Codecov que le permitió extraer la credencial requerida para modificar el script Bash Uploader.
La versión alterada del script Bash Uploader podría afectar potencialmente a:
- Todas las credenciales, tokens o claves que nuestros clientes estaban pasando a través de su corredor de CI que serían accesibles cuando se ejecutó el script Bash Uploader.
- Cualquier servicio, almacén de datos y código de aplicación al que se pueda acceder con estas credenciales, tokens o claves.
- La información remota de git (URL del repositorio de origen) de los repositorios que utilizan Bash Uploaders para cargar la cobertura en Codecov en CI.
Jerrod Engelberg CEO de Codecov recomienda “encarecidamente a los usuarios afectados que vuelvan a publicar inmediatamente todas sus credenciales, tokens o claves ubicadas en las variables de entorno en sus procesos de CI que utilizaron uno de los Bash Uploaders de Codeco”, además que los clientes pueden verificar qué claves y tokens en su entorno de integración continua están en peligro ejecutando el comando “env” en su canal de integración. Si esta acción devuelve algo privado o confidencial, la credencial debe invalidarse y reemplazarse.
Codevov se encuentra trabajando para mejorar aún más la seguridad para poder adelantarse a este tipo de actividad maliciosa, incluido el refuerzo de las herramientas, políticas y procedimientos de seguridad.
