Monday.com最近披露了Codecov供應(yīng)鏈攻擊的影響，該攻擊已經(jīng)影響了多家公司。

http：//monday.com最初叫做Dapulse，是Wix的內(nèi)部通訊工具。Dapulse的客戶遍布全球85個(gè)國(guó)家，擁有4500多名付費(fèi)用戶。但作為一個(gè)業(yè)務(wù)范圍遍布全球的管理公司，Dapulse公司的品牌卻飽受詬病。不光國(guó)外用戶不知“Dapulse”何意，就連本國(guó)客戶也對(duì)“Dapulse”的含義表示不解。

隨后Dapulse收購(gòu)域名http：//Monday.com。http：//Monday.com讓中小型企業(yè)可以在無(wú)代碼的環(huán)境中構(gòu)建自定義工作流應(yīng)用程序以運(yùn)行項(xiàng)目，流程和日常工作。該公司還向希望在平臺(tái)之上構(gòu)建應(yīng)用程序的開(kāi)發(fā)人員開(kāi)放平臺(tái)。

http：//monday.com 是一個(gè)兼容性頗為優(yōu)秀的效率工具，它可以給自由設(shè)計(jì)師來(lái)管理項(xiàng)目，也可以對(duì)需要多人團(tuán)隊(duì)協(xié)同的項(xiàng)目進(jìn)行管理。目前該平臺(tái)的客戶包括Uber，BBC Studios，Adobe，Universal，Hulu，歐萊雅，可口可樂(lè)和聯(lián)合利華等知名公司。

根據(jù)BleepingComputer上個(gè)月的報(bào)道，流行的代碼覆蓋工具Codecov成為持續(xù)了兩個(gè)月的供應(yīng)鏈攻擊的受害者。

在這兩個(gè)月的時(shí)間內(nèi)，攻擊者已經(jīng)修改了合法的Codecov Bash Uploader工具，以從Codecov客戶的CI / CD環(huán)境中竊取環(huán)境變量(包含敏感信息，例如密鑰，令牌和憑據(jù))。

據(jù)報(bào)道，Codecov攻擊者使用來(lái)自被篡改的Bash Uploader的憑據(jù)，攻破了數(shù)百個(gè)客戶網(wǎng)絡(luò)。

在Codecov攻擊中訪問(wèn)Monday.com的源代碼

Codecov客戶Monday.com最近宣布受到Codecov供應(yīng)鏈攻擊的影響。

在本周提交給美國(guó)證券交易委員會(huì)(SEC)的一份表格中，該公司分享了周一網(wǎng)站首次公開(kāi)募股(IPO)的細(xì)節(jié)。

在對(duì)Codecov違規(guī)行為進(jìn)行調(diào)查后，Monday.com發(fā)現(xiàn)未經(jīng)授權(quán)的攻擊者可以訪問(wèn)其源代碼的只讀副本。

但是，該公司表示，到目前為止，還沒(méi)有證據(jù)表明攻擊者篡改了源代碼，或其任何產(chǎn)品受到影響。

此外，該公司表示：

目前，盡管該公司仍在繼續(xù)調(diào)查，但也沒(méi)有跡象表明Monday.com客戶的數(shù)據(jù)已受到此事件的影響。

在本周提交給SEC的文件披露之前，Monday.com曾表示，在Codecov事件發(fā)生后，他們刪除了Codecov對(duì)其環(huán)境的訪問(wèn)權(quán)限，并完全停止了該服務(wù)的使用。

Monday.com的安全團(tuán)隊(duì)在上周的博客文章中說(shuō)：

Monday.com是Codecov入侵的眾多受害者之一

Monday.com不是第一家或唯一一家受到Codecov供應(yīng)鏈攻擊影響的公司。雖然Codecov的攻擊在兩個(gè)月的時(shí)間里沒(méi)有被發(fā)現(xiàn)，但在它被發(fā)現(xiàn)后，攻擊仍在繼續(xù)展開(kāi)。

Codecov事件時(shí)間線(BleepingComputer)

正如本周BleepingComputer報(bào)道的那樣，美國(guó)網(wǎng)絡(luò)安全公司Rapid7透露，他們的某些源代碼存儲(chǔ)庫(kù)和憑據(jù)已被Codecov攻擊者訪問(wèn)。

上個(gè)月，HashiCorp宣布他們的GPG私鑰在攻擊中被暴露。該密鑰已用于簽名和驗(yàn)證軟件版本，因此必須更改。

云通信平臺(tái)Twilio、云服務(wù)提供商Confluent和保險(xiǎn)公司Coalition也報(bào)告稱，Codecov攻擊者訪問(wèn)了他們的私人存儲(chǔ)庫(kù)。

從那時(shí)起，其他幾個(gè)Codecov客戶端不得不輪換其憑據(jù)。它們是否受到影響以及以何種身份受到影響仍然是一個(gè)謎。

在Codecov發(fā)現(xiàn)漏洞之前，Bash Uploader已經(jīng)被數(shù)千個(gè)開(kāi)源項(xiàng)目使用：

使用Codecov Bash Uploader的數(shù)千個(gè)存儲(chǔ)庫(kù)

由于Codecov攻擊行為已與SolarWinds供應(yīng)鏈攻擊進(jìn)行了比較，因此美國(guó)聯(lián)邦調(diào)查人員已介入調(diào)查其全部影響。

Monday.com表示：

上個(gè)月，Codecov開(kāi)始向受影響的客戶發(fā)送其他通知，并披露了完整的危害指標(biāo)(IOC)列表，即與該供應(yīng)鏈攻擊相關(guān)的攻擊者IP地址。

Codecov用戶應(yīng)該掃描他們的CI/CD環(huán)境和網(wǎng)絡(luò)，尋找任何被攻擊的跡象。

本文翻譯自：

https://www.bleepingcomputer.com/news/security/codecov-hackers-gained-access-to-mondaycom-source-code/