3

Codecov bash uploader 被发现过去几个月包含后门

 3 years ago
source link: https://www.solidot.org/story?sid=67523
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

Codecov bash uploader 被发现过去几个月包含后门

WinterIsComing (31822)发表于 2021年04月18日 23时10分 星期日 新浪微博分享 豆瓣分享 人人分享
来自部门
Codecov (Codecov 代表 Code Coverage,代码覆盖率,软件测试中的一种度量)发布安全警告,称它的 bash uploader 被发现从 1 月 31 日到 4 月 1 日之间包含后门,后门会导致开发者的电脑向黑客控制的服务器发送秘密的认证令牌和其它敏感数据。Codecov bash uploader 被用于发送代码覆盖率报告,部分开发项目整合了 Codecov 或其它类似的第三方服务。Codecov 称它的调查发现黑客利用 Codecov Docker 镜像创建过程中的一个错误提取出修改 Bash Uploader 脚本所需的凭证,未经许可修改了脚本。植入的后门代码将 GitHub 库位置和整个过程环境发送到远程服务器,其中包括令牌、凭证等秘密的敏感数据。利用这些敏感信息,黑客能访问私有库访问非公开的源代码,甚至可以进一步发动供应链攻击——在这些源代码中再次植入后门。Codecov 督促在此期间使用它的 bash uploader 的开发者立即撤销所有凭证和令牌。

« 比特币矿工收购纽约火电站 | Linus Torvalds 称 C++ 是一种很烂的语言 »


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK