< p class = "meta"> Av Charlie Osborne for Zero Day | 14. juni 2021 – 08:49 GMT (09:49 BST) | Emne: Sikkerhet
Codecov har introdusert en ny opplaster som er avhengig av NodeJS for å erstatte og fjerne et Bash-skript som er ansvarlig for et nylig angrep i forsyningskjeden.
Den San Francisco-baserte DevOps-verktøyleverandøren sa i et blogginnlegg at den nye opplasteren vil bli sendt som en statisk binær kjørbar enhet som passer for Windows, Linux, Alpine Linux og macOS.
Opplasteren, brukt på samme måte som den eksisterende Bash-opplasteren, brukes til å presse dekningsdata og oppdateringer til produkter under utviklingssykluser. Opplasteren er for tiden i Beta-fasen, og er ennå ikke fullt integrert, men Codecov sier at “de fleste standard arbeidsflyter som for øyeblikket oppnås med Bash Uploader, kan oppnås med den nye opplasteren.”
Codecovs Bash-opplaster var kilden til en rekke angrep i forsyningskjeden som fant sted rundt 31. januar 2021, offentliggjort 15. april.
Ved å infiltrere Codecovs nettverk og kapre Bash-opplasteren sørget trusselaktørene for at i stedet for å trykke på “sunnere” kode under prosjektoppdateringer, slik Codecov har til hensikt, ble brukerne i stedet utsatt for tyveri av informasjon lagret i deres kontinuerlige integrasjonsmiljøer (CI). .
Angrepet kan også ha tillatt angriperne å “raide ytterligere ressurser”, ifølge etterforskere som ble brakt inn etter at bruddet ble offentliggjort – inkludert legitimasjon, noe som potensielt kan føre til bredere nettverkskompromiss i noen tilfeller.
Codecov har jobbet med NodeJS-opplasteren i åtte måneder, opprinnelig for å redusere den økende kompleksiteten i å legge til rette for opplasting og vedlikehold etter hvert som kundebasen til Codecov økte.
Nå som Bash-skriptet er knyttet til en alvorlig sikkerhetshendelse, har oppgraderingen imidlertid blitt en presserende nødvendighet.
“Distribusjonsmekanismen som er valgt (dvs. krøllerør til å baske), selv om den er utrolig praktisk, er notorisk problematisk fra et sikkerhetsperspektiv,” sa Codecov. “Svakhetene ved curl | bash-tilnærmingen kom i forgrunnen under [den] siste sikkerhetshendelsen.”
Den nye opplasteren er nå tilgjengelig for offentlig bruk under Beta-paraplyen og inkluderer en sikrere, verifiserbar distribusjonsarkitektur, beskyttelse mot uautorisert kodemodifisering, og en forbedret CI/CD-rørledning for å utføre automatisert testing av opplasteren på Windows, Linux og macOS.
Codecov håper å avskrive Bash-opplasteren fra november, med full solnedgang av systemet som er planlagt etter 1. februar 2022. Organisasjonen har også skissert andre sikkerhetsforbedringer i kjølvannet av angrepene.
Tidligere og beslektet dekning
Denne nye hackinggruppen har en stygg overraskelse for afrikanske diplomater i Midtøsten – DOJ anklager cybersecurity-tjenestemann for angrep på Georgia-sykehuset
Feds streik Slilpp, en markedsplass for pisking av innloggingsinformasjon
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Security TV Data Management CXO Data Centers 