據路透社報導，聯邦官員正在調查軟件審計公司Codecov的安全漏洞，該漏洞在被外部利用數月內未被發現。Codecov的平台用於測試軟件代碼是否存在漏洞，其2.9萬名客戶包括Atlassian、寶潔公司、GoDaddy和華盛頓郵報。

在該公司網站上的一份聲明中，Codecov首席執行官Jerrod Engelberg承認了這一漏洞和正在接受聯邦政府調查，稱有人在未經公司允許的情況下獲得了其Bash Uploader腳本的訪問權限並對其進行了修改。

“我們的調查已經確定，從2021年1月31日開始，有定期的，未經授權的第三方修改我們的Bash Uploader腳本，這使得他們有可能導出存儲在我們用戶的持續集成（CI）環境中的信息，”Engelberg寫道。”這些信息隨後被發送到Codecov基礎設施之外的第三方服務器。”

根據Engelberg的帖子，該工具的修改版本可能會影響到：

我們的客戶通過他們的CI運行器傳遞的任何憑證、令牌或密鑰，當Bash Uploader腳本被執行時，這些憑證、令牌或密鑰可以被訪問。

任何服務、數據存儲和應用程序代碼都可以通過這些憑證、令牌或密鑰被訪問。

使用Bash Uploaders將覆蓋範圍上傳到CI中的Codecov的倉庫的git遠程信息(起源倉庫的URL)。

雖然該漏洞發生在1月份，但直到4月1日才被發現，當時有客戶發現該工具有問題。”在意識到這個問題後，Codecov立即對可能受影響的腳本進行了保護和修復，並開始調查用戶可能受到影響的程度，”Engelberg寫道。

Codecov不知道是誰展開了此次入侵行動，但已經聘請了一家第三方取證公司幫助其確定用戶是如何受到影響，同時向執法部門報告了此事。該公司給受影響的用戶發了電子郵件，Codecov沒有說出他們的名字。

“我們強烈建議受影響的用戶立即重新製作他們所有的憑證、令牌或位於其CI進程中環境變量中的密鑰，這些程序使用了Codecov的Bash Uploaders之一，”Engelberg補充道。

雖然Codecov漏洞的廣度仍不清楚，但路透社指出，它可能與去年年底的SolarWinds黑客事件產生類似的深遠影響。在那次入侵事件中，與俄羅斯政府有關的黑客入侵了SolarWinds的監控和管理軟件。據信約有250家實體受到SolarWinds漏洞的影響，包括Nvidia、Cisco和Belkin。美國財政部、商務部、州政府、能源部和國土安全機構也受到了影響。