Codecov ditches Bash Uploader for a NodeJS executable
2021/06/12 BleepingComputer — ソフトウェア・テストおよびコード・カバレッジを行う Codecov は、従来からの Bash Uploader に代わるクロス・プラットフォームのアップローダを発表した。この新しいアップローダは、Windows / Linux / macOS に対応した静的バイナリとして提供される。今回の発表は、改変された Codecov の Bash Uploader により顧客の CI/CD 環境から機密情報を収集するという、2ヶ月間に渡る Codecov サプライチェーン・インシデントを受けたものである。
今週、Codecov は、Windows/ Linux / Alpine Linux / macOS 上で動作可能な、まったく新しいアップローダのベータ版を発表した。この新しいアップローダは、NodeJS で書かれており、これまでの Codecov が提供していた Bash Uploader に代わるものとなる。Codecov の CTO である Eli Hooten は、「Codecov は 8ヶ月間をかけて、これまで顧客に提供してきた bash スクリプトに依存ない、新しいアップローダを開発してきた。Codecov の利用者が増え、開発速度がスピードアップし、Bash アップローダの適切なメンテナンスが難しくなったことが、このプロジェクトを開始した理由だ」と述べている。Bash スクリプトが複雑になるにつれて、メンテナンス/拡張/配布/テストが困難になってきたと推測される。
この記事によると、4月15日に Codecov インシデントが公表された後に米国連邦捜査当局が介入し、Codecov 攻撃者が数百の顧客ネットワークに侵入したと主張したとのことです。BleepingComputer が報じたように、その後の数週間のうちに、複数の企業が 2ヶ月にわたるサプライチェーン攻撃の影響を公表しました。影響を受けたのは、ソフトウェア・メーカーの HashiCorp /クラウド・コミュニケーション・プラットフォームの Twilio/クラウド・サービス・プロバイダーの Confluent/保険会社の Coalition/サイバー・セキュリティ Rapid7/ワークフロー・プラットフォームの Monday.com/Eコマースの Mercari とのことです。
IoT OT Security News 