Los piratas informáticos de Codecov obtuvieron acceso al código fuente de Monday.com

Monday.com reveló recientemente el impacto del ataque a la cadena de suministro de Codecov que afecta a múltiples empresas.

Monday.com es una plataforma de gestión de flujo de trabajo en línea utilizada por directores de proyectos, profesionales de ventas y CRM, equipos de marketing y varios otros departamentos organizativos.

Los clientes de la plataforma incluyen nombres destacados como Uber, BBC Studios, Adobe, Universal, Hulu, L'Oreal, Coca-Cola y Unilever.

Como informó BleepingComputer el mes pasado, la popular herramienta de cobertura de código Codecov fue víctima de un ataque a la cadena de suministro de dos meses.

Durante este período de dos meses, los autores de amenazas modificaron la herramienta legítima Codecov Bash Uploader para extraer variables de entorno (que contienen información confidencial como claves, tokens y credenciales) de los entornos de CI / CD de los clientes de Codecov.

Usando las credenciales recopiladas por el Bash Uploader pirateado, los atacantes de Codecov habrían pirateado cientos de redes de clientes.

Código fuente de Monday.com accedido durante el ataque de Codecov

El cliente de Codecov Monday.com anunció recientemente que fue golpeado por el ataque a la cadena de suministro de Codecov.

En un formulario F-1 presentado esta semana ante la Comisión de Bolsa y Valores de los Estados Unidos (SEC) para la oferta pública inicial (OPI) propuesta por Monday.com, la compañía compartió detalles sobre el alcance de la violación de Codecov.

Después de su investigación sobre la violación de Codecov, Monday.com descubrió que actores no autorizados tenían acceso a una copia de solo lectura de su código fuente.

Sin embargo, la compañía afirma, hasta la fecha, no hay evidencia de que el código fuente haya sido manipulado por los atacantes o que alguno de sus productos haya sido afectado.

Además, "el atacante accedió a un archivo que contenía una lista de ciertas URL que apuntaban a las vistas y formularios de clientes de transmisión pública alojados en nuestra plataforma, y ​​contactamos a los clientes afectados para informarles sobre cómo regenerar estas URL", dice la compañía.

Actualmente, tampoco hay indicios de que los datos de los clientes de Monday.com se hayan visto afectados por este incidente, aunque la compañía continúa investigando.

Antes de la divulgación realizada en la presentación de la SEC esta semana, Monday.com había declarado previamente que después del incidente de Codecov, eliminaron el acceso de Codecov a su entorno y dejaron de usar el servicio por completo:

"Al enterarnos de este problema, tomamos medidas de mitigación inmediatas, incluida la revocación del acceso a Codecov, la terminación de nuestro uso del servicio de Codecov, la rotación de claves para todos los entornos de producción y desarrollo de Monday. .Com y la retención de los principales expertos forenses en ciberseguridad para ayudar en nuestras investigaciones. ", Dijo el equipo de seguridad de Monday.com la semana pasada. entrada en el blog.

Monday.com una de las muchas víctimas de la violación de Codecov

Monday.com no es la primera ni la única empresa que se ha visto afectada por el ataque a la cadena de suministro de Codecov.

Aunque el ataque de Codecov pasó desapercibido durante dos meses, el alcance total del ataque continúa desarrollándose incluso después de su descubrimiento.

Como informó BleepingComputer esta semana, la firma estadounidense de ciberseguridad Rapid7 reveló que algunos de sus códigos fuente y repositorios de credenciales estaban siendo utilizados por los atacantes de Codecov.

El mes pasado, HashiCorp anunció que su clave privada GPG había quedado expuesta en el ataque.

Esta clave se utilizó para firmar y verificar versiones de software y, por lo tanto, debía rotarse.

Plataforma de comunicación en la nube Twilio, proveedor de servicios en la nube Confluentey compañía de seguros Coalición También informó que los atacantes de Codecov tenían acceso a sus repositorios privados.

Desde entonces, muchos otros clientes de Codecov han tenido que rotar sus credenciales. Si se vieron afectados o no y cómo, sigue siendo un misterio.

Antes de que Codecov detectara la infracción, miles de proyectos de código abierto utilizaban Bash Uploader:

A medida que la violación de Codecov generó comparaciones con el ataque a la cadena de suministro de SolarWinds, los investigadores federales de EE. UU. Intervinieron para investigar su impacto total.

"A la fecha de este prospecto, no hemos encontrado evidencia de cambios no autorizados en nuestro código fuente o algún impacto en nuestros productos", dice Monday.com, agregando la letra pequeña en la presentación de la SEC:

"Sin embargo, el descubrimiento de información nueva o diferente relacionada con el ataque cibernético de Codecov, incluso con respecto a su alcance y cualquier impacto potencial en nuestro entorno de TI, incluso con respecto a la pérdida, divulgación inadvertida o diseminación no autorizada de información patentada o datos sensibles o confidenciales sobre nosotros o nuestros clientes, o las vulnerabilidades en nuestro código fuente, podrían dar lugar a un litigio y una posible responsabilidad para nosotros, dañar nuestra marca y reputación, afectar negativamente nuestras ventas o dañar nuestro negocio. Cualquier queja o investigación puede resultar en que incurramos y costos de consultoría, además de desviar la atención de la gerencia de la operación de nuestro negocio ".

El mes pasado, Codecov comenzó a enviar notificaciones adicionales a los clientes afectados y reveló una lista completa de indicadores de compromiso (IOC): las direcciones IP de los atacantes asociados con este ataque a la cadena de suministro.

Los usuarios de Codecov deben escanear sus redes y entornos de CI / CD en busca de signos de compromiso y, como medida de seguridad, rotar cualquier secreto que pueda haber sido expuesto.