Codecov遭黑客攻击的背景

程序审计平台Codecov遭黑客攻击，该事件可能影响其2.9万名客户，并且引发大量公司连锁数据泄露，造成又一起”供应链“重大安全危机。Codecov提供的工具使开发人员能够了解测试期间执行的源代码数量(代码覆盖率)，以帮助他们开发更可靠、更安全的程序产品。

但是，该公司的一个Docker文件发生错误，使攻击者可以窃取凭据并修改客户使用的Bash Uploader脚本。

最初安全专家认为攻击仅影响Codecov，现在，该事件已被认定是供应链攻击，复杂性堪比SolarWinds供应链攻击。

尽管事件是在4月1日才发现的，但Codecov表示：

• 自1月31日起，就有第三方对我们的Bash Uploader脚本进行未授权的定期更改。

从1月31日开始，黑客就已经对Codecov发起了攻击，利用Codecov的Docker映像创建过程中出现的错误，非法获得了其Bash Uploader脚本的访问权限并且进行了修改。而这意味着攻击者很有可能导出存储在Codecov用户的持续集成(CI)环境中的信息，最后将信息发送到Codecov基础架构之外的第三方服务器。

此次事件对于Codecov的用户来说就是灭顶之灾。首先，Codecov并不是一家公开上市的公司，相比SolarWinds和Microsoft显得不具备太大的吸引力。因此，攻击者的目的更多是作为供应链攻击的考虑，获取其客户的访问权限对攻击者来说更有价值。

受害目标越来越多

根据调查，这次攻击已经导致数百个Codecov客户的网络被访问。Codecov的客户规模高达2.9万，其中包括许多大型科技品牌，例如IBM、Google、GoDaddy和HP，以及媒体发行商《华盛顿邮报》和知名消费品公司(宝洁)等。

最近开源程序工具和保险柜制造商HashiCorp披露了由于最近的Codecov攻击而发生的安全事件。

Codecov的客户HashiCorp表示，最近的Codecov供应链攻击旨在收集开发人员凭证，导致HashiCorp的GPG签名密钥被被泄漏。

这个密钥被HashiCorp用来签名和验证程序发布，作为预防措施，它已经被轮换使用。经过调查最近的Codecov供应链攻击已经影响了HashiCorp持续集成(CI)管道的一个子集，从而导致HashiCorp用来签名和验证程序发布的GPG密钥被泄漏。

Codecov为超过29,000个客户提供程序测试和代码覆盖服务。

4月1日，Codecov得知，由于Docker镜像存在漏洞，攻击者获得了客户使用的Bash Uploader脚本的凭据。

使用一行恶意代码修改了Bash Uploaders，这行代码将环境变量和从一些客户的CI/CD环境中收集的密钥泄露给了一个受攻击者控制的服务器。

在HashiCorp代码中使用Codecov Bash Uploader的实例

由于对Codecov的这次攻击持续了大约两个月，因此HashiCorp的GPG密钥被泄漏了用于验证HashiCorp产品下载的哈希值。

尽管调查还没有发现未经许可使用被泄漏的GPG密钥的证据，但为了维护受信任的签名机制，Codecov已对其进行了轮换。

目前一个新的GPG密钥对(如下所示的指纹)已经发布，将从现在开始使用：

C874 011F 0AB4 0511 0D02 1055 3436 5D94 72D7 468F

过去的被破坏的GPG密钥对(如下所示)已经被撤销:

91A6 E7F8 5D05 C656 30BE F189 5185 2D87 348F FC4C

HashiCorp在安全事件披露中表示:“现有版本已经被验证并重新被签署。”

HashiCorp表示，该事件只影响了HashiCorp的SHA256SUM签名机制。

示例HashiCorp版本中提供的SHA256SUM文件

MacOS代码签名(公证)以及HashiCorp版本的Windows AuthentiCode签名，都没有受到泄漏密钥的影响。

同样，对releases.hashicorp.com上可用的Linux程序包(Debian和RPM)进行签名也不受影响。

HashiCorp的Terraform尚未修补

但是，HashiCorp的通报确实声明他们的Terraform产品尚未打补丁以使用新的GPG密钥。

Terraform是一种开源的基础结构编码程序工具，用于安全且可预测地创建，更改和改进基础结构。

HashiCorp产品安全总监Jamie Finnigan表示：

• Terraform在terraform初始化操作期间会自动下载提供程序的二进制文件，并在此过程中执行签名验证。同时我们也将发布Terraform和相关工具的修补版本，这些修补版本将在自动代码验证期间使用新的GPG密钥。在短期内，传输级TLS保护在初始化期间下载的官方Terraform提供程序二进制文件，并且可以使用https://hashicorp.com/security中所述的新密钥和签名来对Terraform及其提供程序进行手动验证。

作为事件响应活动的一部分，HashiCorp正在进一步调查Codecov事件是否被泄漏了其他信息，并计划随着调查的进展提供相关更新。

正如本周早些时候BleepingComputer报道的那样，由于Codecov Bash Uploader的危害，据报道有数百个Codecov客户网络被破坏。

目前美国联邦调查人员也已介入，并与Codecov及其客户合作，调查这次攻击的全面影响。

预计在接下来的几周内将有来自Codecov不同客户的更多安全披露。目前程序供应链攻击已成为新的攻击增长趋势。

就在昨天(4月24日)，BleepingComputer报告说，许多财富500强客户使用的Passwordstate企业密码管理器遭到了供应链攻击。报道称，某神秘黑客攻破了企业密码管理器应用程序的更新机制，并在其用户设备(大多数为企业客户)上部署了恶意软件。丹麦安全公司 CSIS 4月24日发布了针对该供应链恶意软件攻击的分析，指出攻击者迫使 Passwordstate 应用程序下载了另一个名为“Passwordstate_update.zip”的压缩包，其中包含了一个“moserware.secretsplitter.dll”动态链接库文件。在受害者设备上安装后，该 DLL 文件将会尝试 ping 通远程的命令与控制服务器，而后服务器端会给出特定的响应，比如检索其它有效载荷。

本文翻译自：https://www.bleepingcomputer.com/news/security/hashicorp-is-the-latest-victim-of-codecov-supply-chain-attack/如若转载，请注明原文地址。