近日，據(jù)BleepingComputer報道，美國網(wǎng)絡(luò)安全公司Rapid7披露遭遇了Codecov供應(yīng)鏈攻擊，部分源代碼存儲庫在網(wǎng)絡(luò)攻擊事件中泄漏。

　　Rapid7已通知可能受到此漏洞影響的“一小部分客戶”，以采取措施減輕任何潛在風(fēng)險。

　　僅訪問內(nèi)部憑證和工具源代碼

　　Rapid7聲稱，攻擊者只能訪問存儲庫的“一小部分”，其中包括Rapid7的托管檢測和響應(yīng)（MDR）服務(wù)內(nèi)部工具的源代碼。

　　Rapid7透露：“這些（泄漏的）存儲庫包含一些內(nèi)部憑證，這些憑證目前都已經(jīng)被輪換，此外還包括一部分客戶的MDR警報相關(guān)的數(shù)據(jù)。攻擊者沒有訪問其他公司系統(tǒng)或生產(chǎn)環(huán)境，也沒有對這些存儲庫進行未經(jīng)授權(quán)的更改?！?/p>

　　這家網(wǎng)絡(luò)安全公司補充說，上個月供應(yīng)鏈攻擊中被黑客入侵的Codecov工具并未用于其生產(chǎn)代碼。

　　Rapid7說：“我們對Codecov的Bash Uploader腳本的使用很有限：僅在用于測試和開發(fā)托管檢測和響應(yīng)（MDR）服務(wù)的一些內(nèi)部工具的單一CI服務(wù)器上設(shè)置。我們沒有在用于生產(chǎn)代碼的任何CI服務(wù)器上使用Codecov。”

　　黑客竊取了開發(fā)人員憑證、源代碼

　　擁有超過29,000家企業(yè)企業(yè)客戶的流行代碼覆蓋解決方案公司Codecov于4月15日披露，未知攻擊者惡意更改了其Bash Uploader腳本。

　　Codecov供應(yīng)鏈攻擊者可以從客戶的持續(xù)集成（CI）環(huán)境中收集敏感信息（例如憑據(jù)、令牌或API密鑰），并將其發(fā)送到攻擊者控制的服務(wù)器。

　　數(shù)天后，聯(lián)邦調(diào)查人員發(fā)現(xiàn)，Codecov黑客將被盜憑證的測試過程自動化，從而成功入侵了數(shù)百個Codecov客戶的網(wǎng)絡(luò)。

　　在4月1日披露攻擊事件兩周后，Codecov才開始通知受供應(yīng)鏈攻擊影響的客戶，告知他們未知攻擊者可能已經(jīng)下載了客戶的源代碼存儲庫。

　　Codecov的客戶之一，開源軟件制造商HashiCorp透露，用于簽名和驗證軟件版本的代碼簽名GPG私鑰已在攻擊中暴露。

　　云通信公司Twilio還透露，它也受到了Codecov供應(yīng)鏈攻擊的影響，但關(guān)鍵系統(tǒng)沒有受到影響。

　　建議Codecov客戶盡快掃描其網(wǎng)絡(luò)和CI/CD環(huán)境，以檢測是否遭到攻擊。