A Codecov, uma ferramenta popular de auditoria e testes automatizados de código, foi alvo de um ataque à sua cadeia de suprimentos, na última semana (15/04). Segundo a empresa, cibercriminosos modificaram um script de Bash Uploader, que resultou em exposição de informações confidenciais de clientes e usuários.
- Exclusivo: hacker revela como foi identificar brechas no sistema da Fiocruz
- Seria o “maior vazamento de dados do Brasil” uma “fraude”? Especialistas comentam
- Ataques contra servidores Microsoft Exchange crescem 1028% em uma semana
Em um comunicado publicado na quinta-feira (15/04) a empresa contou que notou a presença de cibercriminosos em sua rede na quinta-feira (01/04) e imediatamente começou a investigar o caso e descobriu que os cibercriminosos invadiram a rede no final de janeiro deste ano (31/01).
"Nossa investigação determinou que, a partir de 31 de janeiro de 2021, houve alterações periódicas não autorizadas de nosso script Bash Uploader por terceiros, o que lhes permitiu exportar potencialmente informações armazenadas em ambientes de integração contínua (CI) de nossos usuários. Essas informações foram então enviadas para um servidor terceiro, fora da infraestrutura da Codecov", escreve a empresa.
Agora, segundo a Reuters, que ouviu especialistas de segurança envolvidos no caso, é possível que o ataque tenha partido do ataque à cadeia de suprimentos da SolarWinds, do final de 2020, por conta da escala do ataque e do nível de habilidade, que se compara com o ataque à SolarWinds.
Operação cibercriminosa
Segundo o BleepingComputer, nesse ataque, os cibercriminosos conseguiram acesso às credenciais da Codecov na plataforma de contêineres, Docker, no qual foi utilizado para alterar o script do Bash Uploader, usado pelos clientes da empresa.
Com acesso ao sistema, os cibercriminosos substituíram o IP da Codecov por um IP deles, abrindo caminho para roubar dados e informações confidenciais como credenciais de clientes da Codecov, além de tokens, chaves de APIs e qualquer outra informação armazenada como variável nos ambientes de integração contínua (CI) dos clientes.
Com as portas abertas, os criminosos automatizaram processos de extração de dados, acessando centenas de redes de clientes, expandindo o alcance do ataque.
"Os hackers se esforçam mais para usar o Codecov para entrar em contato com outros fabricantes de programas de desenvolvimento de software, bem como com empresas que fornecem serviços de tecnologia a muitos clientes, incluindo a IBM", disse um investigador federal anônimo à Reuters.
Fontes: Codecov; Sapo; Reuters; BleepingComputer.