El código fuente de Rapid7 se vio comprometido durante el ataque Codecov Supply-Chain

La compañía de ciberseguridad de Rapid7 reveló el jueves que actores no identificados no pudieron obtener incorrectamente una pequeña parte de sus repositorios de código fuente como resultado de un compromiso en la cadena de software centrada en Codecov a principios de este año.

“Un pequeño subconjunto de nuestros repositorios de código fuente para herramientas internas para nuestros [Managed Detection and Response] El servicio fue puesto a disposición por una parte no autorizada fuera de Rapid7 «, dijo la firma de Boston. Estos repositorios contenían algunas credenciales internas, todas las cuales fueron modificadas, y datos relacionados con alertas para un subconjunto de nuestros clientes de MDR».

El 15 de abril, la startup de auditoría de software Codecov advirtió a los clientes que su Bash Uploader ya había sido infectado con puertas traseras por parte de desconocidos el 31 de enero para obtener acceso a tokens de autenticación para varias cuentas de software internas utilizadas por los desarrolladores. El incidente no salió a la luz hasta el 1 de abril.

«El actor obtuvo acceso debido a un error en el proceso de creación de imágenes Docker de Codecov que le permitió extraer las credenciales necesarias para modificar nuestro script Bash Uploader», dijo la compañía, y agregó que el adversario estaba realizando «cambios periódicos no autorizados» en el código. lo que les permitió filtrar la información almacenada en el entorno de integración continua (CI) de sus usuarios a un servidor de terceros.

Rapid7 reiteró que no había evidencia de acceso a otros sistemas empresariales o entornos de producción o que se hubieran realizado cambios perjudiciales en estos repositorios. La empresa también agregó que el uso del script Uploader se limitaba a un servidor de CI, que se usaba para probar y crear algunas herramientas internas para su servicio MDR.

Como parte de la investigación de respuesta a incidentes, la empresa de seguridad declaró que había informado a un número seleccionado de clientes que podrían haber estado en riesgo de sufrir la filtración. Gracias a este desarrollo, Rapid7 se une a HashiCorp, Confluent y Twilio, quienes hasta ahora han confirmado públicamente el incidente de seguridad.

Se alienta a los clientes de Codecov que usaron Bash Uploaders entre el 31 de enero de 2021 y el 1 de abril de 2021 a volver a cargar todas sus credenciales, tokens o claves ubicadas en variables de entorno en sus procesos de CI.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática