[[395812]]

Codecov遭黑客攻擊的背景

程序審計平臺Codecov遭黑客攻擊，該事件可能影響其2.9萬名客戶，并且引發大量公司連鎖數據泄露，造成又一起”供應鏈“重大安全危機。Codecov提供的工具使開發人員能夠了解測試期間執行的源代碼數量(代碼覆蓋率)，以幫助他們開發更可靠、更安全的程序產品。

但是，該公司的一個Docker文件發生錯誤，使攻擊者可以竊取憑據并修改客戶使用的Bash Uploader腳本。

最初安全專家認為攻擊僅影響Codecov，現在，該事件已被認定是供應鏈攻擊，復雜性堪比SolarWinds供應鏈攻擊。

盡管事件是在4月1日才發現的，但Codecov表示：

• 自1月31日起，就有第三方對我們的Bash Uploader腳本進行未授權的定期更改。

從1月31日開始，黑客就已經對Codecov發起了攻擊，利用Codecov的Docker映像創建過程中出現的錯誤，非法獲得了其Bash Uploader腳本的訪問權限并且進行了修改。而這意味著攻擊者很有可能導出存儲在Codecov用戶的持續集成(CI)環境中的信息，最后將信息發送到Codecov基礎架構之外的第三方服務器。

此次事件對于Codecov的用戶來說就是滅頂之災。首先，Codecov并不是一家公開上市的公司，相比SolarWinds和Microsoft顯得不具備太大的吸引力。因此，攻擊者的目的更多是作為供應鏈攻擊的考慮，獲取其客戶的訪問權限對攻擊者來說更有價值。

受害目標越來越多

根據調查，這次攻擊已經導致數百個Codecov客戶的網絡被訪問。Codecov的客戶規模高達2.9萬，其中包括許多大型科技品牌，例如IBM、Google、GoDaddy和HP，以及媒體發行商《華盛頓郵報》和知名消費品公司(寶潔)等。

最近開源程序工具和保險柜制造商HashiCorp披露了由于最近的Codecov攻擊而發生的安全事件。

Codecov的客戶HashiCorp表示，最近的Codecov供應鏈攻擊旨在收集開發人員憑證，導致HashiCorp的GPG簽名密鑰被被泄漏。

這個密鑰被HashiCorp用來簽名和驗證程序發布，作為預防措施，它已經被輪換使用。經過調查最近的Codecov供應鏈攻擊已經影響了HashiCorp持續集成(CI)管道的一個子集，從而導致HashiCorp用來簽名和驗證程序發布的GPG密鑰被泄漏。

Codecov為超過29,000個客戶提供程序測試和代碼覆蓋服務。

4月1日，Codecov得知，由于Docker鏡像存在漏洞，攻擊者獲得了客戶使用的Bash Uploader腳本的憑據。

使用一行惡意代碼修改了Bash Uploaders，這行代碼將環境變量和從一些客戶的CI/CD環境中收集的密鑰泄露給了一個受攻擊者控制的服務器。

在HashiCorp代碼中使用Codecov Bash Uploader的實例

由于對Codecov的這次攻擊持續了大約兩個月，因此HashiCorp的GPG密鑰被泄漏了用于驗證HashiCorp產品下載的哈希值。

盡管調查還沒有發現未經許可使用被泄漏的GPG密鑰的證據，但為了維護受信任的簽名機制，Codecov已對其進行了輪換。

目前一個新的GPG密鑰對(如下所示的指紋)已經發布，將從現在開始使用：

C874 011F 0AB4 0511 0D02 1055 3436 5D94 72D7 468F

過去的被破壞的GPG密鑰對(如下所示)已經被撤銷:

91A6 E7F8 5D05 C656 30BE F189 5185 2D87 348F FC4C

HashiCorp在安全事件披露中表示:“現有版本已經被驗證并重新被簽署。”

HashiCorp表示，該事件只影響了HashiCorp的SHA256SUM簽名機制。

示例HashiCorp版本中提供的SHA256SUM文件

MacOS代碼簽名(公證)以及HashiCorp版本的Windows AuthentiCode簽名，都沒有受到泄漏密鑰的影響。

同樣，對releases.hashicorp.com上可用的Linux程序包(Debian和RPM)進行簽名也不受影響。

HashiCorp的Terraform尚未修補

但是，HashiCorp的通報確實聲明他們的Terraform產品尚未打補丁以使用新的GPG密鑰。

Terraform是一種開源的基礎結構編碼程序工具，用于安全且可預測地創建，更改和改進基礎結構。

HashiCorp產品安全總監Jamie Finnigan表示：

• Terraform在terraform初始化操作期間會自動下載提供程序的二進制文件，并在此過程中執行簽名驗證。同時我們也將發布Terraform和相關工具的修補版本，這些修補版本將在自動代碼驗證期間使用新的GPG密鑰。在短期內，傳輸級TLS保護在初始化期間下載的官方Terraform提供程序二進制文件，并且可以使用https://hashicorp.com/security中所述的新密鑰和簽名來對Terraform及其提供程序進行手動驗證。

作為事件響應活動的一部分，HashiCorp正在進一步調查Codecov事件是否被泄漏了其他信息，并計劃隨著調查的進展提供相關更新。

正如本周早些時候BleepingComputer報道的那樣，由于Codecov Bash Uploader的危害，據報道有數百個Codecov客戶網絡被破壞。

目前美國聯邦調查人員也已介入，并與Codecov及其客戶合作，調查這次攻擊的全面影響。

預計在接下來的幾周內將有來自Codecov不同客戶的更多安全披露。目前程序供應鏈攻擊已成為新的攻擊增長趨勢。

就在昨天(4月24日)，BleepingComputer報告說，許多財富500強客戶使用的Passwordstate企業密碼管理器遭到了供應鏈攻擊。報道稱，某神秘黑客攻破了企業密碼管理器應用程序的更新機制，并在其用戶設備(大多數為企業客戶)上部署了惡意軟件。丹麥安全公司 CSIS 4月24日發布了針對該供應鏈惡意軟件攻擊的分析，指出攻擊者迫使 Passwordstate 應用程序下載了另一個名為“Passwordstate_update.zip”的壓縮包，其中包含了一個“moserware.secretsplitter.dll”動態鏈接庫文件。在受害者設備上安裝后，該 DLL 文件將會嘗試 ping 通遠程的命令與控制服務器，而后服務器端會給出特定的響應，比如檢索其它有效載荷。

本文翻譯自：https://www.bleepingcomputer.com/news/security/hashicorp-is-the-latest-victim-of-codecov-supply-chain-attack/如若轉載，請注明原文地址。