Codecov Bash Uploader

Point de compromission dans la chaîne Rupture · étape Distribution

Source

amont

Dépendances

deps

Build & CI

ci

Packaging

artefact

Release

provenance

Registres

Distribution

Déploiement

admission

Runtime

exécution

Rayon d'explosion — compromission à l'étape Distribution, propagation possible aux consommateurs. Domaines : Orchestration, Poste de travail, Source, Intégration, Release, Fournisseurs, Secrets

Gravité critique

Script Bash uploader de Codecov altéré après accès non autorisé : il exfiltrait les variables d'environnement (secrets) des pipelines CI qui l'exécutaient.

~2,5 mois

non détecté

31 janv.

début des altérations

15 avr.

signalement

Bash Uploader

outil compromis

En bref

Date

15/04/2021

Gravité

Critique

Étape de la chaîne

Distribution

Domaines SOCLE

Orchestration+ Poste de travail, Source, Intégration, Release, Fournisseurs, Secrets

Que s'est-il passé ?

Contexte

Codecov, outil de couverture de code intégré à GitHub, GitLab et Bitbucket, voit son script Bash Uploader compromis à cause d'une erreur dans la création de son image Docker qui a exposé les identifiants nécessaires à sa modification.

Mécanisme

L'attaquant modifie le Bash Uploader pour exfiltrer tout secret transitant par le runner CI des clients (identifiants, jetons, clés) ainsi que les informations du dépôt git d'origine.

Impact

Toute organisation utilisant l'uploader a pu voir fuiter ses secrets CI et les services qu'ils déverrouillent. Les altérations sont restées non détectées du 31 janvier au 15 avril 2021.

Parades

Vérifier l'intégrité des scripts tiers (checksum ou signature) avant exécution en CI, épingler la version de l'uploader, isoler et filtrer l'egress des runners, et rotation des secrets exposés.

Chronologie de l'attaque

31 janvier 2021

Début des altérations

Des modifications non autorisées du Bash Uploader commencent, exploitant des identifiants extraits de l'image Docker.

15 avril 2021

Signalement public

Codecov annonce la compromission du Bash Uploader et ses impacts potentiels sur les secrets CI des clients.

Comment l'attaquant a procédé

Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :

V-DIST-1 Canal de distribution compromis V-CI-5 Extraction de jeton OIDC en mémoire V-SEC-1 Secret en clair / fuité

La leçon à en tirer

Ce qu'il faut retenir

Vérifier l'intégrité des scripts tiers exécutés en CI (pinning et checksum) ; secrets courts et scopés.

Les exigences SOCLE qui auraient limité cet incident

Cet incident se rattache à 32 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :

Fournisseurs SOCLE-FRN-CTR-3SOCLE-FRN-DLV-1SOCLE-FRN-DLV-3SOCLE-FRN-GEN-3SOCLE-FRN-GEN-4SOCLE-FRN-SUP-2

Intégration SOCLE-INT-ACT-1SOCLE-INT-GEN-7SOCLE-INT-VER-1

Orchestration SOCLE-ORC-IDN-1SOCLE-ORC-IDN-2SOCLE-ORC-OBS-1SOCLE-ORC-OBS-3

Release SOCLE-REL-GEN-3SOCLE-REL-GEN-6

Secrets SOCLE-SEC-GEN-1SOCLE-SEC-GEN-2SOCLE-SEC-INV-1SOCLE-SEC-INV-2SOCLE-SEC-INV-3SOCLE-SEC-ROT-3SOCLE-SEC-ROT-4SOCLE-SEC-STO-1SOCLE-SEC-STO-2SOCLE-SEC-STO-3SOCLE-SEC-STO-4SOCLE-SEC-STO-5SOCLE-SEC-STO-6

Source SOCLE-SRC-FRK-1SOCLE-SRC-GEN-4

Poste de travail SOCLE-WKS-DEV-2SOCLE-WKS-DEV-5

Pour aller plus loin

Source d'origineLe compte rendu détaillé de l'incident Vecteurs : DistributionLes attaques de cette étape de la chaîne Tous les incidentsLe catalogue filtrable

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →