美国软件开发测试服务厂商Codecov今年初遭到黑客入侵,美国政府初步调查发现,数百家客户可能已被窃走公司软件开发项目资料,受害范围也疑似波及其他软件和服务企业如IBM。
本周路透社报道,Codecov于4月1日发现该公司的Bash Uploader script遭非授权访问及修改,可能危及客户。Bash Uploader是供其客户上传软件开发项目的覆盖报告到Codecov的工具。黑客利用该公司Docker镜像文件创建过程中一项瑕疵取得密码,进而将Bash Uploader script中的IP地址,由Codecov改为黑客控制的服务器,借此悄悄搜集客户的重要凭证,包括API密钥、令符及任何存储在CI(continuous integration)环境中的信息等,可能危及客户网络上的服务或数据库、应用程序代码。
该公司调查后研判,入侵行为可能早从今年1月31日起开始,已经持续近三个月。这个Bash Uploader也用于其他三项工具。而由于Codecov拥有P&G、GoDaddy等2.9万家客户,美国联邦调查局(FBI)及国土安全部已介入调查是否和SolarWinds有关。
路透社周二引述未具名的调查官员报道,攻击者利用自动化工具快速复制客户的凭证及其他信息,使资料外泄情况超出Codecov最初公布的范围。此外黑客也利用Codecov访问了其他软件开发工具的供应商网络,以及技术服务供应商,包括IBM。
消息人士透露,双管齐下使黑客可能已取得数千个系统的登录凭证,而有“数百家客户”网络已经遭到访问。
Bleeping Computer报道,若搜索连向Codecov被黑Bash Uploader script的连接,显示有数千项项目曾经或现正使用该script。不过究竟有多少项目因此遭池鱼之殃,则不得而知。
FBI旧金山分部已着手调查,Codecov已从本周一起通知可能的受害企业。报道指出有数十家客户接到通知。
IBM对媒体表示,经过调查,显示IBM自己或客户的程序代码未遭到变更,不过没有说明系统登录凭证是否外流。HPE则表示还在调查事件影响。Atlassian则于本周一表示,没有发现任何遭黑入的证据。