近日，據BleepingComputer報道，美國網絡安全公司Rapid7披露遭遇了Codecov供應鏈攻擊，部分源代碼存儲庫在網絡攻擊事件中泄漏。

　　Rapid7已通知可能受到此漏洞影響的“一小部分客戶”，以采取措施減輕任何潛在風險。

　　僅訪問內部憑證和工具源代碼

　　Rapid7聲稱，攻擊者只能訪問存儲庫的“一小部分”，其中包括Rapid7的托管檢測和響應（MDR）服務內部工具的源代碼。

　　Rapid7透露：“這些（泄漏的）存儲庫包含一些內部憑證，這些憑證目前都已經被輪換，此外還包括一部分客戶的MDR警報相關的數據。攻擊者沒有訪問其他公司系統或生產環境，也沒有對這些存儲庫進行未經授權的更改?！?/p>

　　這家網絡安全公司補充說，上個月供應鏈攻擊中被黑客入侵的Codecov工具并未用于其生產代碼。

　　Rapid7說：“我們對Codecov的Bash Uploader腳本的使用很有限：僅在用于測試和開發托管檢測和響應（MDR）服務的一些內部工具的單一CI服務器上設置。我們沒有在用于生產代碼的任何CI服務器上使用Codecov。”

　　黑客竊取了開發人員憑證、源代碼

　　擁有超過29,000家企業企業客戶的流行代碼覆蓋解決方案公司Codecov于4月15日披露，未知攻擊者惡意更改了其Bash Uploader腳本。

　　Codecov供應鏈攻擊者可以從客戶的持續集成（CI）環境中收集敏感信息（例如憑據、令牌或API密鑰），并將其發送到攻擊者控制的服務器。

　　數天后，聯邦調查人員發現，Codecov黑客將被盜憑證的測試過程自動化，從而成功入侵了數百個Codecov客戶的網絡。

　　在4月1日披露攻擊事件兩周后，Codecov才開始通知受供應鏈攻擊影響的客戶，告知他們未知攻擊者可能已經下載了客戶的源代碼存儲庫。

　　Codecov的客戶之一，開源軟件制造商HashiCorp透露，用于簽名和驗證軟件版本的代碼簽名GPG私鑰已在攻擊中暴露。

　　云通信公司Twilio還透露，它也受到了Codecov供應鏈攻擊的影響，但關鍵系統沒有受到影響。

　　建議Codecov客戶盡快掃描其網絡和CI/CD環境，以檢測是否遭到攻擊。