Codecov供应链攻击中Rapid7源代码被破解

网络安全公司Rapid7周四披露，在今年早些时候针对Codecov的软件供应链泄露事件后，身份不明的参与者不恰当地获得了其一小部分源代码存储库。

这家总部位于波士顿的公司在一份公开声明中表示：“Rapid7之外的一个未经授权的方访问了我们（托管检测和响应）服务的内部工具源代码库的一小部分。”。“这些存储库包含一些内部凭证，这些凭证都已轮换，并为我们的MDR客户的一个子集提供警报相关数据。”

4月15日，软件审计初创公司Codecov提醒客户，其Bash Uploader实用程序早在1月31日就被未知方感染了后门，以获取开发人员使用的各种内部软件帐户的身份验证令牌。这件事直到4月1日才曝光。

该公司指出：“该演员获得访问权限是因为Codecov的Docker图像创建过程中出现错误，允许该演员提取修改我们的Bash上传脚本所需的凭证。”，添加对手对代码进行了“定期、未经授权的修改”，使其能够将存储在用户持续集成（CI）环境中的信息过滤到第三方服务器。

Rapid7重申，没有证据表明其他公司系统或生产环境被访问，或对这些存储库进行了任何恶意更改。该公司还补充说，上传脚本的使用仅限于一台CI服务器，用于测试和构建MDR服务的一些内部工具。

作为事件响应调查的一部分，这家安全公司表示，它已通知了一些可能受到违规影响的特定客户。随着这一发展，Rapid7加入了HashiCorp、Confluent和Twilio等迄今为止已公开确认安全事件的公司。

在2021年1月31日至2021年4月1日间使用BASH上传器的CODECOV客户推荐重新在他们的CI过程中重新设置他们的凭证、令牌或位于环境变量中的密钥。