米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月30日(米国時間)、「Codecov Releases New Detections for Supply Chain Compromise|CISA」において、サイバー犯罪者がCodecovのBash Uploaderスクリプトに不正な改変を加えたと伝えた。該当するプロダクトを使用している場合は対応が必要だ。

このサイバーセキュリティインシデントのタイムラインは次のとおり。

2021年1月31日(米国時間)以降、サイバー犯罪者がCodecovのBash Uploaderスクリプトに不正な改変を加える

2021年4月1日(米国時間)、不正に変更されたスクリプトを発見したCodecovがスクリプトを修正

2021年4月15日(米国時間)、Codecovはユーザに侵害を受けている事実を通知

2021年4月29日(米国時間)、Codecovは組織が影響を受けているか判断するのに使用できる侵害の指標や侵害された可能性の高い環境変数の非網羅的なデータセットを含む新しい検出機能を含むアップデートを公開

米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: United States Computer Emergency Readiness Team)はすべてのCodecovユーザーに対して、次のアップデートを確認することを推奨している。

Bash Uploader Security Update – Codecov

また、CISAはCodecovより提供された侵害の指針(IOCs: Indicators Of Compromise)を検索すること、Codecovへログインして所属する組織やリポジトリに所属する組織やリポジトリに固有の追加情報を確認することを推奨している。