代码测试平台Codecov遭持续入侵，漏洞利用长达数月

CodeCov漏洞是否会带来下一个大型软件供应链攻击事件？最新消息，软件审计平台Codecov遭黑客入侵，该事件可能影响其2.9万名客户，并且引发大量公司连锁数据泄露，造成又一起”供应链“重大安全危机。下游用户面临安全危机1月31日开始，黑客瞄准Codecov，利用Codecov的Docker映像创建过程中出现的错误，非法获得了其Bash Uploader脚本的访问权限并且进行了修改。而这意味着攻击者很有可能导出存储在Codecov用户的持续集成（CI）环境中的信息，最后将信息发送到Codecov基础架构之外的第三方服务器。严格来说，Bash Uploader脚本被篡改，将导致：用户执行Bash Uploader脚本时，通过其CI运行器传递的任何凭据，令牌或密钥都可以被攻击者访问。攻击者可以使用这些凭据、令牌或密钥 ………………………………