De aanvaller achter de Codecov-backdoor heeft toegang tot de broncode van monday.com gekregen, zo heeft het softwarebedrijf zelf bekendgemaakt, dat tevens aankondigt dat het is gestopt met het gebruik van Codecov. Monday.com biedt een tool voor projectmanagement die volgens het bedrijf door 100.000 klanten wereldwijd wordt gebruikt.

Codecov ontwikkelt tools voor het auditen van software. Zo kunnen softwareontwikkelaars kijken hoeveel van hun code door interne testscripts is getest. Eén van deze tools is Bash Uploader, die onder andere met GitHub-projecten is te integreren. Volgens Codecov wordt de tool door meer dan 29.000 bedrijven gebruikt.

Begin dit jaar wist een aanvaller de ontwikkelomgeving van Bash Uploader te compromitteren en voegde code toe die inloggegevens, tokens, keys en andere data steelt zodra de tool binnen de ontwikkelomgeving wordt uitgevoerd. Vervolgens werden deze gegevens naar een server van de aanvaller gestuurd.

Ook monday.com maakte gebruik van Bash Uploader. Halverwege april maakte Codecov de aanwezigheid van de backdoor bekend. Eind april deelde het bedrijf meer details over de aanval met klanten. Aan de hand van deze informatie kon monday.com naar eigen zeggen een diepgaander onderzoek uitvoeren.

Nu blijkt dat de aanvaller via de Codecov-backdoor toegang tot de broncode van monday.com gekregen. Er zijn vooralsnog geen aanwijzingen gevonden dat de broncode door de aanvaller is aangepast. Verder blijkt dat de aanvaller toegang tot een bestand kreeg met url's die naar publieke formulieren van klanten wezen die bij monday.com werden gehost. Deze klanten zijn inmiddels ingelicht.

Naar aanleiding van de aanval maakt monday.com geen gebruik meer van de diensten van Codecov. Tevens zijn alle keys van de productieomgeving van monday.com veranderd. Bronnen lieten eerder tegenover persbureau Reuters weten dat honderden bedrijven slachtoffer van de supply-chain-aanval zijn geworden. Het gaat onder andere om securitybedrijf Rapid7, softwarebedrijf HashiCorp en cloudcommunicatieplatform Twilio.