Een deel van de broncode van securitybedrijf Rapid7 is ingezien door de aanvaller achter de Codecov-backdoor. Ook kreeg de aanvaller toegang tot interne inloggegevens en waarschuwingsgerelateerde gegevens voor een deel van de klanten. Dat heeft het bedrijf zelf in een blogposting bekendgemaakt.
Codecov ontwikkelt tools voor het auditen van software. Zo kunnen softwareontwikkelaars kijken hoeveel van hun code door interne testscripts is getest. Eén van deze tools is Bash Uploader, die onder andere met GitHub-projecten is te integreren. Volgens Codecov wordt de tool door meer dan 29.000 bedrijven wereldwijd gebruikt.
Begin dit jaar wisten aanvallers de ontwikkelomgeving van Bash Uploader te compromitteren en voegden code toe die inloggegevens, tokens, keys en andere data steelt zodra de tool binnen de ontwikkelomgeving wordt uitgevoerd. Vervolgens werden deze gegevens naar een server van de aanvallers gestuurd.
Rapid7 maakte naar eigen zeggen op één server gebruik van de Codecov-tool. Hierop werd interne tooling ontwikkeld en getest voor de Managed Detection and Response (MDR) service die het bedrijf aan klanten aanbiedt. Via de backdoor kreeg de aanvaller toegang tot een deel van de broncode voor de interne tooling achter de MDR-service. De repositories die door de aanvaller zijn benaderd bleken tevens interne inloggegevens en waarschuwingsgerelateerde data voor een deel van de MDR-klanten te bevatten. Deze klanten zijn inmiddels over het incident ingelicht.
Bronnen lieten eerder tegenover persbureau Reuters weten dat honderden bedrijven slachtoffer van de supply-chain-aanval zijn geworden. Het gaat onder andere om cloudcommunicatieplatform Twilio en softwarebedrijf HashiCorp. De laatstgenoemde besloot vanwege het incident om de GPG private key die het gebruikt voor het signeren van software te vervangen omdat aanvallers hier toegang toe hebben gekregen. Recentelijk deelde Codecov nog nieuwe Indicators of Compromise (IOCs) die organisaties kunnen gebruiken om te kijken of ze ook slachtoffer zijn geworden.
Deze posting is gelocked. Reageren is niet meer mogelijk.