Softwarebedrijf Codecov heeft meer informatie met klanten gedeeld over de supply-chain-aanval waar het onlangs slachtoffer van werd. De manier waarop het dit heeft gedaan valt niet bij alle getroffen klanten in goede aarde. Daarnaast zijn er nieuwe Indicators of Compromise (IOCs) gepubliceerd die organisaties voor hun onderzoek kunnen gebruiken.

Codecov ontwikkelt tools voor het auditen van software. Zo kunnen softwareontwikkelaars kijken hoeveel van hun code door interne testscripts is getest. Eén van deze tools is Bash Uploader, die onder andere met GitHub-projecten is te integreren. Volgens Codecov wordt de tool door meer dan 29.000 bedrijven wereldwijd gebruikt.

Begin dit jaar wisten aanvallers de ontwikkelomgeving van Bash Uploader te compromitteren en voegden code toe die inloggegevens steelt zodra de tool wordt uitgevoerd. Vervolgens werden deze gegevens naar een server van de aanvallers gestuurd. De backdoor, die op 31 januari van dit jaar werd toegevoegd, bleef twee maandenlang verborgen.

Het onderzoek dat Codecov instelde heeft nieuwe informatie opgeleverd over de gegevens die aanvallers bij getroffen klanten hebben kunnen stelen en hoe die mogelijk zijn gebruikt. Deze informatie heeft het softwarebedrijf voor getroffen klanten binnen de Codecov-applicatie beschikbaar gemaakt, waar niet iedereen even blij mee is. Zo blijkt dat de aanvallers onder andere de respository van de betreffende klanten hebben gedownload, hoewel er kritiek is op de "onduidelijke uitleg" van het bedrijf hierover.

Eén van de klanten die door de Codecov-backdoor werd getroffen was softwarebedrijf HashiCorp. Dat besloot vanwege het incident om de GPG private key die het gebruikt voor het signeren van software te vervangen omdat aanvallers hier toegang toe hebben gekregen. Volgens bronnen zouden honderden bedrijven slachtoffer van de supply-chain-aanval zijn geworden.