聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码安全卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

本周四，用于托管代码测试报告和数据的 Codecov 在线平台称，Bash Uploader 脚本遭恶意修改，客户持续集成环境中的敏感信息被暴露。

Codecov 虽然在4月1日就获悉此事，但调查认为实际上这起软件供应链攻击早在今年1月末就已发生。

Bash Uploader 修改发生在1月

Codecov 提供的工具有助于开发人员衡量测试工程中执行了多少行源代码，即测试代码的覆盖率，可以表明代码中可能存在未检测漏洞的情况。

该平台拥有超过2.9万家企业客户，如 Atlassian、华盛顿邮报、GoDadday、加拿大皇家银行、宝洁等。

Bash Uploader 工具如其名称所示那样，供客户向平台发送代码覆盖率报告，它会检测和持续集成相关的设置、收集报告并上传信息。而攻击者从1月31日起就专门攻击该数据收集工具，他们修改脚本，将客户环境详情发送到 Codecov 基础设施之外的服务器，这一行为可从第525行看出。

被用于获得访问权限的弱点是创建 Codecov Docker 镜像过程中的一个错误，可导致用于保护 Bash Uploader 脚本修改的凭据被窃取。鉴于 Bash Uploader 收集的信息，Codecov 表示攻击者可能利用恶意版本导出了如下敏感数据：

• 执行 Bash Uploader 脚本时，可被访问的客户通过 CI 运行器传递的任何凭据、令牌或密钥；

• 可通过这些凭据、令牌或密钥访问的任何服务、数据存储和应用程序代码；

• 使用 Bash Uploaders 将覆盖率上传到持续集成过程中 Codecov 的仓库的 git 远程信息（原始仓库的 URL）

由于存在这种潜在风险，强烈建议受影响用户轮换依靠 Bash Uploader 的持续集成过程中环境变量中出现的所有凭据、令牌或密钥。

使用本地脚本的客户应该检查第525行是否被加入攻击者代码。如出现如下代码，则应当将当前的 bash 文件替换为Codecov 发布的最新版本。

在最初变体中，脚本将 “ENV” 变量中的数据上传到 Codecov 平台。攻击者修改后，Bash Uploader 还会将详情发送到上述地址，而该 IP 地址并非由 Codecov 管理。

Codecov 从一名客户处获悉该攻陷情况。这名客户注意到 GitHub 上的 Bash Uploader 脚本和所下载文件并不匹配。

Codecov 公司指出，“从截止目前的取证分析结果来看，似乎有人从2021年月31日起定期越权访问某 Google Cloud Storage (GCS) 密钥，可使恶意第三方将我们的 Bash Uploader 脚本修改，可能将持续集成的信息导出给第三方服务器。Codecov 已在2021年4月1日修复了该脚本的问题。“

缓解措施

Codecov 获悉此事后立即采取缓解措施，如：

• 轮换所有相关内部凭据，包括用于方便修改 Bash Uploader 的密钥

• 审计可访问该密钥的位置和方法

• 设置监控和审计工具，确保未来不会发生非意图内的修改

• 和第三方服务器托管提供商合作，确保恶意webserver 已被正确弃用

Codecov 公司指出，虽然设置了安全策略、程序、实践和控制以及持续监控网络和系统中的异常活动，但仍然发生了这起事件。

推荐阅读

详细分析 Chrome V8 JIT 漏洞 CVE-2021-21220

开源搜索服务 Apache Solr 出现多个高危漏洞

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

谷歌Linux基金会等联合推出开源软件签名服务 sigstore，提振软件供应链安全

Linus Torvalds 警告：勿用 Linux 5.12 rc1，担心供应链攻击？

微软和火眼又分别发现SolarWinds 供应链攻击的新后门

找到恶意软件包：Go 语言生态系统中的供应链攻击是怎样的？

拜登签署行政令，要求保护美国关键供应链（含信息技术）的安全

坐火车太无聊，我溜入微软 VS Code官方GitHub仓库，但没敢发动供应链攻击

SolarWinds 供应链攻击中的第四款恶意软件及其它动态

OpenWRT开源项目论坛遭未授权访问，可被用于供应链攻击

FireEye事件新动态：APT 攻击 SolarWinds 全球供应链（详解）

FireEye 红队失窃工具大揭秘之：分析复现SolarWinds RCE 0day (CVE-2020-10148)

FireEye红队失窃工具大揭秘之：分析复现Zoho ManageEngine RCE (CVE-2020-10189)

FireEye 红队失窃工具大揭秘之：分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

FireEye 红队失窃工具大揭秘之：分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)

FireEye 红队失窃工具大揭秘之：分析复现 Atlassian RCE (CVE-2019-11580)

Ripple 20：严重漏洞影响全球数十亿IoT设备，复杂软件供应链使修复难上加难

被后爹坑：开源 JavaScript 库沦为摇钱树

速修复！开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞

谷歌提出治理开源软件漏洞的新框架：知悉、预防、修复

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

原文链接

https://www.bleepingcomputer.com/news/security/popular-codecov-code-coverage-tool-hacked-to-steal-dev-credentials/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~