Rapid7 Foi Víctima do Ataque à Cadeia de Suprimentos da Codecov
Índice:
Uma importante empresa de cibersegurança, a Rapid7, anunciou que um número limitado de seus repositórios de código-fonte foi exposto durante o ataque à cadeia de suprimentos do Codecov. De acordo com a declaração oficial, os repositórios comprometidos continham credenciais internas e dados relacionados a alertas para seus clientes de Managed Detection and Response (MDR).
Ataque à Cadeia de Suprimentos do Codecov
Em 15 de abril de 2021, uma empresa de auditoria de software, a Codecov divulgou que seu script Bash Uploader havia sido comprometido por atores desconhecidos. Este script pode investigar o código do cliente e acessar quaisquer logins e senhas dentro desse código. Consequentemente, as modificações mal-intencionadas dessa utilidade permitiram que adversários alcançassem sistemas dentro das redes dos usuários do Codecov, incluindo o código do produto que as empresas estão desenvolvendo e disseminando para outros. Além disso, como o Bash Uploader pode enviar dados para fora das redes dos clientes, ele proporcionou aos hackers um meio fácil de extrair as informações roubadas.
O comprometimento ocorreu entre janeiro e abril de 2021 e permitiu que os adversários acessassem tokens de autenticação, chaves, detalhes de login, contas de serviço e outras informações confidenciais pertencentes aos clientes. Como resultado, centenas de usuários foram afetados, tendo seus dados dentro dos ambientes de integração contínua (CI) dos usuários descreditados.
Rapid7 confirmou que foi vítima do ataque do Codecov. Em particular, a utilidade maliciosa Bash Uploader foi instalada no servidor CI da empresa, utilizado pelo fornecedor para desenvolver e testar ferramentas para clientes MDR. Embora os intrusos não tivessem capacidade de alterar o próprio código do produto, os hackers conseguiram acessar um conjunto menor de repositórios de código-fonte contendo detalhes de login de clientes e outras informações sensíveis. Todas as credenciais já foram alteradas para evitar novos abusos. Além disso, a empresa entrou em contato com todos os usuários afetados para garantir que tomassem as medidas de mitigação apropriadas.
Detecção de Ataques
Para verificar se sua organização foi abusada durante a violação da Rapid7 e evitar novos compromissos, você pode baixar uma regra Sigma da comunidade já disponível no Threat Detection Marketplace.
https://tdm.socprime.com/tdm/info/ixdVuRZNbGLA/#sigma
A regra possui traduções para os seguintes idiomas:
SIEMs: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne
MITRE ATT&CK:
Táticas: Acesso Inicial
Técnicas: Comprometimento da Cadeia de Suprimentos (T1195)
Obtenha uma assinatura do Threat Detection Marketplace, uma plataforma líder mundial de Content-as-a-Service (CaaS) que fornece conteúdo SOC qualificado, interfornecedor e interferramenta, adaptado a 23 tecnologias líderes de mercado em SIEM, EDR e NTDR. Nosso conteúdo é continuamente enriquecido com contexto adicional de ameaças, verificado, checado para impacto, eficiência, falsos positivos e outras considerações operacionais através de uma série de auditorias de garantia de qualidade. Quer criar seu próprio conteúdo de detecção? Junte-se ao nosso Programa Threat Bounty!
