Codecov黑客获得了Monday.com源代码的访问权限

Monday.com最近披露了Codecov供应链攻击的影响，该攻击已经影响了多家公司。

http：//monday.com最初叫做Dapulse，是Wix的内部通讯工具。Dapulse的客户遍布全球85个国家，拥有4500多名付费用户。但作为一个业务范围遍布全球的管理公司，Dapulse公司的品牌却饱受诟病。不光国外用户不知“Dapulse”何意，就连本国客户也对“Dapulse”的含义表示不解。

随后Dapulse收购域名http：//Monday.com。http：//Monday.com让中小型企业可以在无代码的环境中构建自定义工作流应用程序以运行项目，流程和日常工作。该公司还向希望在平台之上构建应用程序的开发人员开放平台。

http：//monday.com 是一个兼容性颇为优秀的效率工具，它可以给自由设计师来管理项目，也可以对需要多人团队协同的项目进行管理。目前该平台的客户包括Uber，BBC Studios，Adobe，Universal，Hulu，欧莱雅，可口可乐和联合利华等知名公司。

根据BleepingComputer上个月的报道，流行的代码覆盖工具Codecov成为持续了两个月的供应链攻击的受害者。

在这两个月的时间内，攻击者已经修改了合法的Codecov Bash Uploader工具，以从Codecov客户的CI / CD环境中窃取环境变量(包含敏感信息，例如密钥，令牌和凭据)。

据报道，Codecov攻击者使用来自被篡改的Bash Uploader的凭据，攻破了数百个客户网络。

在Codecov攻击中访问Monday.com的源代码

Codecov客户Monday.com最近宣布受到Codecov供应链攻击的影响。

在本周提交给美国证券交易委员会(SEC)的一份表格中，该公司分享了周一网站首次公开募股(IPO)的细节。

在对Codecov违规行为进行调查后，Monday.com发现未经授权的攻击者可以访问其源代码的只读副本。

但是，该公司表示，到目前为止，还没有证据表明攻击者篡改了源代码，或其任何产品受到影响。

此外，该公司表示：

目前，尽管该公司仍在继续调查，但也没有迹象表明Monday.com客户的数据已受到此事件的影响。

在本周提交给SEC的文件披露之前，Monday.com曾表示，在Codecov事件发生后，他们删除了Codecov对其环境的访问权限，并完全停止了该服务的使用。

Monday.com的安全团队在上周的博客文章中说：

Monday.com是Codecov入侵的众多受害者之一

Monday.com不是第一家或唯一一家受到Codecov供应链攻击影响的公司。虽然Codecov的攻击在两个月的时间里没有被发现，但在它被发现后，攻击仍在继续展开。

Codecov事件时间线(BleepingComputer)

正如本周BleepingComputer报道的那样，美国网络安全公司Rapid7透露，他们的某些源代码存储库和凭据已被Codecov攻击者访问。

上个月，HashiCorp宣布他们的GPG私钥在攻击中被暴露。该密钥已用于签名和验证软件版本，因此必须更改。

云通信平台Twilio、云服务提供商Confluent和保险公司Coalition也报告称，Codecov攻击者访问了他们的私人存储库。

从那时起，其他几个Codecov客户端不得不轮换其凭据。它们是否受到影响以及以何种身份受到影响仍然是一个谜。

在Codecov发现漏洞之前，Bash Uploader已经被数千个开源项目使用：

使用Codecov Bash Uploader的数千个存储库

由于Codecov攻击行为已与SolarWinds供应链攻击进行了比较，因此美国联邦调查人员已介入调查其全部影响。

Monday.com表示：

上个月，Codecov开始向受影响的客户发送其他通知，并披露了完整的危害指标(IOC)列表，即与该供应链攻击相关的攻击者IP地址。

Codecov用户应该扫描他们的CI/CD环境和网络，寻找任何被攻击的迹象。

本文翻译自：

https://www.bleepingcomputer.com/news/security/codecov-hackers-gained-access-to-mondaycom-source-code/