Les hackers de Codecov ont obtenu un accès au code source de Monday.com

0

Monday.com a récemment révélé l’impact de l’attaque de la chaîne d’approvisionnement de Codecov qui a affecté plusieurs entreprises.

Monday.com est une plateforme de gestion de flux de travail en ligne utilisée par les chefs de projet, les professionnels des ventes et du CRM, les équipes marketing et divers autres services organisationnels.

Les clients de la plate-forme incluent des noms de premier plan tels que Uber, BBC Studios, Adobe, Universal, Hulu, L’Oréal, Coca-Cola et Unilever.

Comme rapporté le mois dernier, l’outil de couverture de code populaire Codecov avait été victime d’une attaque de la chaîne d’approvisionnement qui a duré deux mois.

Au cours de cette période de deux mois, les pirates informatique avaient modifié l’outil légitime Codecov Bash Uploader pour exfiltrer les variables d’environnement (contenant des informations sensibles telles que les clés, les jetons et les informations d’identification) des environnements CI/CD des clients.

En utilisant les informations d’identification collectées sur le Bash Uploader falsifié, les hackers de Codecov auraient violé des centaines de réseaux clients.

Le code source de Monday.com accédé dans l’attaque de Codecov

Le client de Codecov, Monday.com, a récemment annoncé avoir été touché par l’attaque de la chaîne d’approvisionnement de Codecov.

Dans un formulaire F-1 déposé cette semaine auprès de la Securities and Exchange Commission (SEC) des États-Unis pour l’offre publique initiale proposée par Monday.com, la société a partagé des détails sur l’étendue de la brèche de Codecov.

Après son enquête sur la brèche de Codecov, Monday.com a constaté que des individus non autorisés avaient eu accès à une copie en lecture seule de leur code source.

Cependant, la société déclare, à ce jour, qu’il n’y a aucune preuve que le code source a été falsifié par les attaquants, ou que l’un de ses produits est impacté.

De plus, « l’attaquant a accédé à un fichier contenant une liste de certaines URL pointant vers des formulaires clients diffusés publiquement hébergées sur notre plate-forme et nous avons contacté les clients concernés pour leur expliquer comment régénérer ces URL », déclare la société.

Pour le moment, rien n’indique non plus que les données des clients de Monday.com aient été affectées par cet incident, bien que la société continue d’enquêter.

Avant la divulgation, Monday.com avait précédemment déclaré qu’à la suite de l’incident de Codecov, ils avaient supprimé l’accès de Codecov à leur environnement et avaient complètement arrêté l’utilisation du service:

«Après avoir pris connaissance de ce problème, nous avons pris des mesures d’atténuation immédiates, y compris la révocation de l’accès à Codecov, l’arrêt de notre utilisation du service Codecov, la rotation des clés pour tous les environnements de production et de développement de Monday.com, et le recrutement d’experts en criminalistique de pointe et en cybersécurité pour nous aider dans notre enquête, », a déclaré l’équipe de sécurité de Monday.com dans un article de blog.

Monday.com n’est qu’une des victimes de la brèche de Codecov

Monday.com n’est pas la première ni la seule entreprise à être touchée par l’attaque de la chaîne d’approvisionnement de Codecov.

Bien que l’attaque de Codecov n’ait pas été détectée pendant deux mois, toute l’étendue de l’attaque continue d’avoir un effet même après sa découverte.

codecov

Récemment, la société américaine de cybersécurité Rapid7 a révélé que certains de ses référentiels de code source et de ses informations d’identification avaient été accédés par les pirates informatique.

Le mois dernier, HashiCorp avait annoncé que sa clé privée GPG avait été exposée lors de l’attaque.

Cette clé avait été utilisée pour signer et vérifier les versions de logiciel et devait donc être changée.

La plate-forme de communication cloud Twilio, le fournisseur de services cloud Confluent et la compagnie d’assurance Coalition avaient également signalé que des attaquants de Codecov avaient accédé à leurs référentiels privés.

Depuis lors, plusieurs autres clients de Codecov ont dû alterner leurs identifiants. Qu’ils aient été touchés ou non.

Avant que la brèche ne soit repérée, le Bash Uploader était utilisé par des milliers de projets open source:

codecov

Parce que la violation de Codecov avait des similarités avec l’attaque de la chaîne d’approvisionnement de SolarWinds, les enquêteurs fédéraux américains sont intervenus pour enquêter sur son impact.

«[…] nous n’avons trouvé aucune preuve de modifications non autorisées de notre code source ni d’impact sur nos produits», a déclaré Monday.com.

« Cependant, la découverte d’informations nouvelles ou différentes concernant la cyberattaque de Codecov, y compris en ce qui concerne sa portée et tout impact potentiel sur notre environnement informatique, y compris concernant la perte, la divulgation par inadvertance ou la diffusion non approuvée d’informations exclusives ou de données sensibles ou confidentielles nous concernant ou nos clients, ou des vulnérabilités dans notre code source, pourraient entraîner des litiges et une responsabilité potentielle pour nous, nuire à notre marque et à notre réputation, avoir un impact négatif sur nos ventes ou autrement nuire à nos activités. » a ajouté l’entreprise.

« Toute réclamation ou enquête peut entraîner notre engagement externe et interne, des frais juridiques et de conseil, ainsi que le détournement de l’attention de la direction de l’exploitation de notre entreprise. « 

Le mois dernier, Codecov a commencé à envoyer des notifications supplémentaires aux clients concernés et a divulgué une liste complète d’indicateurs de compromis, ainsi que les adresses IP des attaquants associées à cette attaque de la chaîne d’approvisionnement.

Les utilisateurs de Codecov doivent scanner leurs environnements et réseaux CI/CD pour tout signe de compromission, et à titre de sauvegarde, changer tous les ‘secrets’ qui peuvent avoir été exposés.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.