Investigatori federali che esaminano una violazione della società di test del codice software Codecov

Funzionari federali stanno indagando su una violazione della sicurezza presso la società di revisione del software Codecov, che apparentemente non è stata rilevata per mesi Reuters segnalato. La piattaforma di Codecov viene utilizzata per testare il codice software alla ricerca di vulnerabilità e i suoi 29.000 client includono Atlassian, Proctor & Gamble, GoDaddy e Washington Post.

In un dichiarazione sul sito web della società, Il CEO di Codecov Jerrod Engelberg ha riconosciuto la violazione e l’indagine federale, dicendo che qualcuno aveva avuto accesso al suo script Bash Uploader e lo aveva modificato senza il permesso dell’azienda.

“La nostra indagine ha stabilito che, a partire dal 31 gennaio 2021, si sono verificate alterazioni periodiche e non autorizzate del nostro script Bash Uploader da parte di terzi, che hanno consentito loro di esportare potenzialmente le informazioni archiviate negli ambienti di integrazione continua (CI) dei nostri utenti”, ha scritto Engelberg . “Queste informazioni sono state quindi inviate a un server di terze parti al di fuori dell’infrastruttura di Codecov.”

Secondo il post di Engelberg, la versione modificata dello strumento avrebbe potuto influenzare:

• Eventuali credenziali, token o chiavi che i nostri clienti stavano passando attraverso il loro runner CI che sarebbero stati accessibili quando è stato eseguito lo script Bash Uploader.
• Qualsiasi servizio, datastore e codice dell’applicazione a cui è possibile accedere con queste credenziali, token o chiavi.
• Le informazioni remote git (URL del repository di origine) dei repository che utilizzano Bash Uploader per caricare la copertura su Codecov in CI.

Sebbene la violazione sia avvenuta a gennaio, non è stata scoperta fino al 1 ° aprile, quando un cliente ha notato che qualcosa non andava con lo strumento. “Immediatamente dopo essere venuto a conoscenza del problema, Codecov ha protetto e risolto lo script potenzialmente interessato e ha iniziato a indagare sulla misura in cui gli utenti potrebbero essere stati colpiti”, ha scritto Engelberg.

Codecov non sa chi fosse il responsabile dell’hacking, ma ha assunto una società forense di terze parti per aiutarla a determinare in che modo gli utenti sono stati colpiti e ha segnalato la questione alle forze dell’ordine. La società ha inviato un’e-mail agli utenti interessati, che Codecov non ha nominato, per informarli.

“Consigliamo vivamente agli utenti interessati di ripetere immediatamente tutte le loro credenziali, token o chiavi che si trovano nelle variabili di ambiente nei loro processi CI che utilizzavano uno dei Bash Uploader di Codecov”, ha aggiunto Engelberg.

Sebbene l’ampiezza della violazione di Codecov rimanga poco chiara, Reuters osserva che potrebbe potenzialmente avere un impatto simile e di vasta portata come l’hack di SolarWinds della fine dell’anno scorso. In tale violazione, gli hacker associati al governo russo hanno compromesso il software di monitoraggio e gestione di SolarWinds. Si ritiene che circa 250 entità siano state colpite dalla violazione di SolarWinds, tra cui Nvidia, Cisco e Belkin. Anche le agenzie del Tesoro, del Commercio, dello Stato, dell’Energia e della Sicurezza Interna degli Stati Uniti sono state colpite.