Backdoor in dev-tool 3 maanden onopgemerkt

"Codecov neemt de beveiliging van zijn systemen en data zeer serieus", begint de bekendmaking van de backdoor die begin dit jaar maandenlang aanwezig was in die tool voor software-ontwikkelaars. De makers van die tool laten in hun blogpost van afgelopen week weten dat ze diverse beschermende maatregelen hebben genomen om hun gebruikers te beschermen.

Via Docker-aanmaakproces

Dit volgt op de ontdekking die de Codecov-makers op 1 april hebben gedaan: dat er kwaadaardige code was aangebracht in hun software. Deze backdoor is toegevoegd aan de Bash Uploader, die daardoor in staat was om credentials, tokens, encryptiesleutels en andere gevoelige data door te geven aan onbevoegden. Daarmee kon de aanvaller dus toegang krijgen tot alle diensten, datastores en applicatiecode die developers met die inloggegevens gebruiken.

De onbekende aanvaller heeft zich toegang weten te verschaffen tot het Bash Uploader-script door een fout in het aanmaakproces van Codecov voor Docker-images. Daarlangs wist de hacker de inloggegevens buit te maken waarmee de Bash Uploader was te wijzigen. Het onderzoek, waarbij een forensisch bedrijf in de arm is genomen, wijst uit dat de ongeautoriseerde wijzigingen aan de Bash Uploader op 31 januari dit jaar zijn begonnen.

Alles opnieuw instellen

Gebruikers krijgen van Codecov het dringende advies om al hun credentials, tokens en sleutels opnieuw in te stellen voor hun ontwikkelomgevingen. Intern heeft de maker van deze softwareontwikkeltool dit ook gedaan. Daarnaast zijn nu tools opgezet voor monitoring en auditing, om herhaling van deze beveiligingsinbreuk te voorkomen. De ontdekking van de backdoor is gedaan door een klant, die zelf een controle uitvoerde op de integriteit van de code van de uploadtool.