Codecov供应链攻击危及多家科技巨头

近日，软件审计公司Codecov的产品代码爆出供应链攻击，导致该公司数百个客户的网络遭遇非法访问。

最初安全专家认为攻击仅影响Codecov，现在，该事件已被认定是供应链攻击，复杂性堪比SolarWinds供应链攻击。

调查人员透露，这次袭击已经导致数百个Codecov客户的网络被访问。Codecov的客户规模高达2.9万，其中包括许多大型科技品牌，例如IBM、Google、GoDaddy和HP，以及媒体发行商《华盛顿邮报》和知名消费品公司（宝洁）等等。

Codecov提供的工具使开发人员能够了解测试期间执行的源代码数量（代码覆盖率），以帮助他们开发更可靠、更安全的软件产品。

但是，该公司的一个Docker文件发生错误，使攻击者可以窃取凭据并修改客户使用的Bash Uploader脚本。

尽管事件是在4月1日才发现的，但Codecov表示：“自1月31日起，就有第三方对我们的Bash Uploader脚本进行未授权的定期更改。”

该公司表示，攻击者可以访问存储在客户的持续集成（CI）环境中的所有凭据令牌或密钥，进而可以访问通过这些凭据访问的任何服务、数据存储和应用程序代码。

一位调查人员告诉路透社，通过供应链攻击，攻击者可以利用此技术访问成千上万个受限制的网络。

F-Secure战术防御部门的高级经理Calvin Gan敦促企业在执行安全审核时将像Codecov之类的第三方供应商视为其组织的一部分，并定期进行审核，确保所有配置都经过验证。

“始终了解并权衡使用诸如Codecov之类的任何第三方服务时所涉及的风险。虽然提供的服务是一项有价值的服务，但最好检查或限制发送给这些服务的内容，特别是如果它包含凭据或敏感信息时。”他补充说。

“这并不容易，特别是如果该服务是公司所信任的服务。但是，一旦发现诸如此类的漏洞，风险评估和提前制定的备份、响应计划将派上用场。”