Honderden bedrijven zijn getroffen door een backdoor die twee maandenlang in een ontwikkeltool van softwarebedrijf Codecov zat verborgen, zo meldt persbureau Reuters op basis van onderzoekers. Codecov ontwikkelt tools voor het auditen van software. Zo kunnen softwareontwikkelaars kijken hoeveel van hun code door interne testscripts is getest.

Eén van deze tools is Bash Uploader, die onder andere met GitHub-projecten is te integreren. Volgens Codecov wordt de tool door meer dan 29.000 bedrijven wereldwijd gebruikt, waaronder GoDaddy, Atlassian, The Washington Post en Procter & Gamble.Tijdens het gebruik van Bash Uploader kan de tool toegang krijgen tot interne inloggegevens van ontwikkelaccounts.

Begin dit jaar wisten aanvallers de ontwikkelomgeving van Bash Uploader te compromitteren en voegden code toe die inloggegevens steelt zodra de tool wordt uitgevoerd. Vervolgens werden deze gegevens naar een server van de aanvallers gestuurd. De backdoor, die op 31 januari van dit jaar werd toegevoegd, bleef twee maandenlang verborgen. Volgens onderzoekers die met Reuters spraken hebben de aanvallers op deze manier toegang tot de netwerken van honderden bedrijven gekregen.

“De aanvallers hebben extra moeite gedaan om door middel van Codecov toegang tot andere softwareontwikkelaars te krijgen, alsmede bedrijven die hun klanten van technologie diensten voorzien, waaronder IBM”, aldus een anonieme federale onderzoeker tegenover Reuters. IBM stelt in een reactie daarop dat het geen aangepaste code van klanten heeft aangetroffen. Of er ook inloggegevens zijn buitgemaakt laat het bedrijf niet weten.

Andere klanten van Codecov zouden nog steeds bezig zijn met het onderzoek of ze zijn gecompromitteerd. Codecov adviseerde klanten vorige week om credentials, tokens en keys van ontwikkelomgevingen waar Bash Uploader is gebruikt te wijzigen.

Source