Twilio revela el impacto del ataque a la cadena de suministro de Codecov

La empresa de comunicaciones en la nube Twilio ha revelado que se ha visto afectada por el reciente ataque a la cadena de suministro de Codecov en menor medida.

Como informó BleepingComputer el mes pasado, la popular herramienta de cobertura de código Codecov había sido víctima de un ataque a la cadena de suministro de dos meses.

Durante este período de dos meses, los autores de amenazas modificaron la herramienta legítima Codecov Bash Uploader para extraer variables de entorno (que contienen información confidencial como claves, tokens y credenciales) de los entornos de CI / CD de los clientes de Codecov.

Usando las credenciales recopiladas por el Bash Uploader pirateado, los atacantes de Codecov habrían pirateado cientos de redes de clientes.

Twilio: pequeña cantidad de direcciones de correo electrónico de clientes expuestos

Hoy, las comunicaciones en la nube y la plataforma Twilio VoIP anunciaron que han sido afectadas por el ataque a la cadena de suministro de Codecov.

Poco después de que Codecov divulgara el archivo incidente de seguridad En cuanto a su Bash Uploader el mes pasado, se informó a Twilio que también se vieron afectados.

Como lo vio BleepingComputer, varios proyectos de Twilio han usado y continúan usando Codecov Bash Uploader que se modificó anteriormente:

Pero Twilio afirma que el componente Bash Uploader alterado ilegalmente se usó activamente en una pequeña cantidad de proyectos Twilio y canalizaciones de CI y no afectó a los sistemas críticos.

"Estos proyectos y canalizaciones de CI no se encuentran en la ruta crítica para proporcionar actualizaciones o funcionalidad a nuestras API de comunicación", explicó Twilio en un declaración lanzado hoy.

"Nuestra investigación posterior sobre el impacto de este evento descubrió que un atacante desconocido probablemente había extraído una pequeña cantidad de direcciones de correo electrónico después de esta exposición".

"Informamos en privado a los afectados y solucionamos una posible exposición adicional examinando y rotando cuidadosamente todas las credenciales potencialmente expuestas", continúa el comunicado.

Direcciones de correo electrónico encontradas en el repositorio de GitHub

El 22 de abril, GitHub también notificó a Twilio después de detectar actividad sospechosa relacionada con la exposición a Codecov y que específicamente se había expuesto un token de usuario de Twilio.

"GitHub.com había identificado varios repositorios de GitHub que habían sido clonados por el atacante antes de que Codecov nos notificara".

"Nuestra investigación pasó de identificar secretos a identificar el contenido de los repositorios que han sido clonados", dice Twilio.

Fue entonces en uno de estos repositorios de GitHub que el equipo de seguridad de Twilio encontró "una pequeña cantidad de direcciones de correo electrónico pertenecientes a clientes de Twilio", aunque la empresa no reveló qué es exactamente esta "pequeña cantidad".

Twilio afirma que en este momento no hay indicios o pruebas de que otros datos de clientes hayan sido expuestos o que los repositorios de Twilio hayan sido alterados de alguna manera por los atacantes.

Como parte de sus actividades de investigación, la empresa también realizó una búsqueda automatizada para encontrar los secretos descubiertos y analizó manualmente los resultados.

Además, la empresa rotó todos los secretos que podrían haberse descubierto en los repositorios, tras el ataque a la cadena de suministro de Codecov.

Twilio también ha tomado medidas para detectar incidentes de este tipo en el futuro, como escanear las solicitudes de extracción de GitHub en tiempo real en busca de secretos expuestos y prácticas de cifrado no seguras comunes.

Twilio no es la única empresa afectada

Twilio no es la primera ni la única empresa que se ha visto afectada por el ataque a la cadena de suministro de Codecov.

El mes pasado, según informó BleepingComputer, HashiCorp reveló que su clave privada GPG había sido expuesta en el ataque.

Esta clave se utilizó para firmar y verificar versiones de software y, por lo tanto, debía rotarse.

Desde entonces, muchos otros clientes de Codecov han tenido que rotar sus credenciales. Si se vieron afectados o no y cómo, sigue siendo un misterio.

Antes de que Codecov detectara la infracción, miles de proyectos de código abierto utilizaban Bash Uploader:

Del mismo modo, BleepingComputer también se encontró con una discusión entre los miembros de la comunidad de Mozilla Firefox que reconocieron los secretos de rotación después del ataque de Codecov.

Ya hemos rotado todos los secretos la semana pasada.
Este es un _nuevo_ correo electrónico, que dice que hay nueva información después de iniciar sesión.
Excepto cuando me conecto, no hay nada.

(La publicación del blog está actualizada y contiene indicadores de compromiso)

- jan-erik (@badboy_) 30 de abril de 2021

Mozilla respondió con:

"En respuesta a la violación de Codecov anunciada el 15 de abril de 2021, el equipo de seguridad de Mozilla coordinó la rotación de credenciales y tokens según las instrucciones de Codecov".

"No se encontró evidencia de compromiso y no esperamos ningún impacto en los productos o servicios de Mozilla", dijo un portavoz de Mozilla a BleepingComputer.

La semana pasada, Codecov comenzó a enviar notificaciones adicionales a los clientes afectados y reveló una lista completa de indicadores de compromiso (IOC): las direcciones IP de los atacantes asociados con este ataque a la cadena de suministro.

Los usuarios de Codecov deben escanear sus redes y entornos de CI / CD en busca de signos de compromiso y, como medida de seguridad, rotar cualquier secreto que pueda haber sido potencialmente expuesto.