日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

近日，據(jù)BleepingComputer報道，美國網(wǎng)絡(luò)安全公司Rapid7披露遭遇了Codecov供應(yīng)鏈攻擊，部分源代碼存儲庫在網(wǎng)絡(luò)攻擊事件中泄漏。

Rapid7已通知可能受到此漏洞影響的“一小部分客戶”，以采取措施減輕任何潛在風(fēng)險。

僅訪問內(nèi)部憑證和工具源代碼

Rapid7聲稱，攻擊者只能訪問存儲庫的“一小部分”，其中包括Rapid7的托管檢測和響應(yīng)(MDR)服務(wù)內(nèi)部工具的源代碼。

Rapid7透露：“這些(泄漏的)存儲庫包含一些內(nèi)部憑證，這些憑證目前都已經(jīng)被輪換，此外還包括一部分客戶的MDR警報相關(guān)的數(shù)據(jù)。攻擊者沒有訪問其他公司系統(tǒng)或生產(chǎn)環(huán)境，也沒有對這些存儲庫進行未經(jīng)授權(quán)的更改?！?/p>

這家網(wǎng)絡(luò)安全公司補充說，上個月供應(yīng)鏈攻擊中被黑客入侵的Codecov工具并未用于其生產(chǎn)代碼。

Rapid7說：“我們對Codecov的Bash Uploader腳本的使用很有限：僅在用于測試和開發(fā)托管檢測和響應(yīng)(MDR)服務(wù)的一些內(nèi)部工具的單一CI服務(wù)器上設(shè)置。我們沒有在用于生產(chǎn)代碼的任何CI服務(wù)器上使用Codecov?！?/p>

黑客竊取了開發(fā)人員憑證、源代碼

擁有超過29,000家企業(yè)企業(yè)客戶的流行代碼覆蓋解決方案公司Codecov于4月15日披露，未知攻擊者惡意更改了其Bash Uploader腳本。

Codecov供應(yīng)鏈攻擊者可以從客戶的持續(xù)集成(CI)環(huán)境中收集敏感信息(例如憑據(jù)、令牌或API密鑰)，并將其發(fā)送到攻擊者控制的服務(wù)器。

數(shù)天后，聯(lián)邦調(diào)查人員發(fā)現(xiàn)，Codecov黑客將被盜憑證的測試過程自動化，從而成功入侵了數(shù)百個Codecov客戶的網(wǎng)絡(luò)。

在4月1日披露攻擊事件兩周后，Codecov才開始通知受供應(yīng)鏈攻擊影響的客戶，告知他們未知攻擊者可能已經(jīng)下載了客戶的源代碼存儲庫。

Codecov的客戶之一，開源軟件制造商HashiCorp透露，用于簽名和驗證軟件版本的代碼簽名GPG私鑰已在攻擊中暴露。

云通信公司Twilio還透露，它也受到了Codecov供應(yīng)鏈攻擊的影響，但關(guān)鍵系統(tǒng)沒有受到影響。

建議Codecov客戶盡快掃描其網(wǎng)絡(luò)和CI/CD環(huán)境，以檢測是否遭到攻擊。

戳這里，看該作者更多好文

文章名稱：網(wǎng)絡(luò)安全公司Rapid7源代碼泄漏
標(biāo)題鏈接：http://www.dlmjj.cn/article/dpegihh.html