脅威に関する情報: 改ざんされたCodecovのBash Uploaderスクリプト

By

Category: Threat Brief, Unit 42

Tags: , , ,

This post is also available in: English (英語)

4月16日、コードテストレポートと統計を提供しているオンラインプラットフォームでありソフトウェア会社であるCodecovが同社のBash Uploaderスクリプトが攻撃者により改ざんされたと公表しました。Bash Uploaderスクリプトは、同社の顧客がコードカバレッジレポートをCodecovプラットフォームに送信して分析するために利用しているものです。

Codecovの調査から、1月31日以降、攻撃者がBash Uploaderスクリプトを定期的に不正に改ざんしていたことがわかりました。同スクリプトは、ユーザーの継続的インテグレーション(CI)環境からCodecovのインフラストラクチャ外のサードパーティサーバーに情報をエクスポートするように変更されていました。エクスポートされた情報には、資格情報、トークン、サービス、データストア、アプリケーションのコードが含まれていましたが、この情報だけに限定されません。 

本インシデントによる影響は、Bash Uploaderスクリプトそのものや、その使用ユーザーだけにとどまりません。Bash Uploaderスクリプトは以下を含むほかのツールにも含まれています。

本稿執筆時点で、シグネチャと観測された指標をベースとし、パロアルトネットワークスのお客様は、弊社製品エコシステム全体で保護されています。それぞれの製品での具体的な保護対策は、以下の製品ならびにサブスクリプションにより展開済みです。 

  • 次世代ファイアウォール
    • 脅威防御: アンチスパイウェアシグネチャ 86353 (Malicious Modified Shell Script Detection) および 86355 (Data Exfiltration Traffic Detection)
    • WildFire: WildFireは悪意のあるBash Uploaderスクリプトをブロックします 
  • Cortex XDR
    • XDRの分析検出機能によりお客様を保護します 
  • Cortex XSOAR:
    • 「Codecov Breach - Bash Uploader (Rapid Breach Response Pack)」により対応します

CodecovのBash Uploaderスクリプトまたは影響を受ける他のツールのいずれかを使用している場合は同脅威によるリスクを慎重に評価する必要があります。上記の保護を利用し、Codecovの推奨する影響緩和のための修復アクションを実施することをお勧めします。