Cyberthreat.id – Peretasan yang menargetkan pemasok perangkat lunak atau serangan supply chain baru-baru ini ditemukan di Codecov.

Kasus Codecov yang ditemukan pada April lalu tak jauh beda dengan apa yang dialami oleh pembuat perangkat lunak Orion, SolarWinds yang dibobol Desember 2020. (Baca: Hacker Susupi Perangkat Lunak Codecov, Insiden Siber SolarWinds Dikhawatirkan Terulang)

Codecov adalah perusahaan layanan pengujian perangkat lunak sebelum dirilis asal San Fransisco, AS. Tujuan alat pengujian ini untuk membantu pengguna mengecek apakah coding terdapat kesalahan/kecacatan atau tidak selama siklus pengembangan (Development Operations/DevOps).

Apa yang sebenarnya terjadi?

Perangkat lunak jahat (malware) pintu belakang (backdoor) ditemukan dalam perangkat lunak Codecov, Bash Uploader. Di situs webnya, Codecov mengatakan, Bash Uploader ini menyediakan kerangka kerja dan metode bahasa pemograman atau scripting, yang kemudian digunakan untuk mengirimkan laporan pelanggannya ke Codecov.

Tujuan utama alat ini adalah untuk penanganan khusus integrasi berkelanjutan di lingkungan pengguna, mengumpulkan laporan, dan mengunggah informasi ke Codecov. Namun, tujuannya alat ini telah disalahgunakan oleh peretas.

Apa efek serangan ini?

Skrip Bash Uploader ditemukan dimodifikasi oleh peretas yang tidak dikenal dengan kode berbahaya yang dapat mencuri token otentikasi rahasia dan data sensitif lainnya. Informasi yang dicurinya pun dikirimkan peretas ke situs web jarak jauh yang dikendalika penyerang, dikutip dari Port Swigger.

Mengapa hal ini bisa terjadi?

Peretas dapat memodifikasi skrip dan memperoleh akses untuk melakukan ini karena adanya kesalahan dalam proses pembuatan Docker image Codecov—sekumpulan instruksi (read-only template) untuk membuat container agar dapat dibaca di platform Docker). Kesalahan atau kerentanan itu membuat peretas tidak dikenal mengekstrak kredensial yang diperlukan untuk memodifikasi skrip.

Kapan insiden ini ditemukan?

Pelanggaran ini baru ditemukan setelah dua bulan peretas menyusup. Awalnya temuan ini diidentifikasi oleh pelanggan Codecov yang melaporkan pada 1 April 2021. Pelanggan itu menemukan shashum hash ("sidik jari file") dari Bash Uploader yang diambilnya dari URL beralamat https://codecov.io/bash berbeda dengan hash yang tersedia di Bash Uploader di situs web GitHub.

Setelah perusahaan melakukan penyelidikan sementara, ditemukan para peretas ini mulai menyusupi Codecov pada 31 Januari 2021. Penyelidikan pun masih berlanjut hingga kini.

Dikutip dari Security Boulevard, peretas telah mengganti alamat IP server Codecov dengan milik mereka sendiri di skrip Bash Uploader. Karena itulah diketahui informasi yang dicurinya dikirim peretas ke pihak ketiga atau server milik peretas.

Berapa potensi jumlah korban terdampak?

Codecov memiliki sekitar 29.000 pelanggan, di antaranya IBM, GoDaddy, The Washington Post, Hewlett Packard Enterprise (HPE) dan sebagainya. Namun, Codecov masih belum mengeluarkan detail berapa banyak jumlah yang terdampak atas disusupinya Bash Uploader ini.

Perusahaan mengklaim telah mengirimi email notifikasi keamanan kepada pelanggan yang dinilainya terdampak atas insiden ini, tepatnya 15 April 2021.

---

Baca:

• Codecov Kirim Email Notifikasi Peretasan kepada Pelanggan Terdampak
• Codecov Diretas, Ratusan Kliennya Terkena Imbas

---

Apakah sudah ada yang menjadi korban?

Hampir dua minggu lebih pengungkapan insiden ini oleh Codecov, tetapi baru satu pelanggan yang mengaku terdampak atas insiden ini adalah HashiCorp.

Perusahaan perangkat lunak berbasis di San Fransisco, AS tersebut mengaku kunci pribadi yang mereka gunakan untuk menandatangani dan memverifikasi rilis perangkat lunaknya telah terungkap kepada peretas.

HashiCorp menyatakan bahwa produk Terraform mereka terdampak. Terraform adalah alat perangkat lunak infrastruktur sebagai kode sumber terbuka yang digunakan untuk membuat, mengubah dan meningkatkan infrastruktur dengan aman dan dapat diprediksi, dikutip dari BleepingComputer.

Sejauh ini, pelanggan yang mengaku terdampak atas insiden ini dari pemberitaan yang ada hanyalah HashiCorp. Selebihnya, seperti IBM belum mengonfirmasi bahwa terkena.

Namun, seperti dikatakan penyidik federal anonim kepada Reuters, peretas melakukan upaya ekstra untuk menggunakan Codecov untuk masuk ke dalam pembuat program pengembangan perangkat lunak lainnya, termasuk IBM yang memiliki pelanggan banyak. IBM mengaku ke BleepingComputer, kode mereka belum dimodifikasi tetapi menolak berkomentar apakah sistem mereka telah dilanggar.

Jenis produk mana saja yang disusupi peretas?

Meski belum jelas siapa saja yang terdampak, pengguna dapat menilai bahwa dirinya terdampak atau tidak jika menggunakan:

• Codecov-bash (bash uploader)
• Codecov-action (Github)
• Codecov-circleci-orb
• Codecov-bitrise-step

Apakah ada dampak lebih besar dari adanya insiden ini?

Mengingat para pelanggannya adalah para vendor besar itu sendiri, kata SearchSecurity Tech Target, insiden ini dapat memperluas potensi ancaman serangan rantai pasokan lebih jauh.

Peneliti anonim x0rz di Twitter mengatakan insiden Codecov ini layaknya membuka pintu ke peretasan besar.

"Codecov adalah bos terakhir dari rantai pasokan: ia memberikan akses ke berbagai proyek pengembang lainnya, ini adalah grafik kode yang saling bergantung tanpa akhir. Pada titik ini pertanyaan sebenarnya adalah, siapa yang tidak terpengaruh oleh ini?" katanya.

Apa yang perlu dilakukan pelanggannya?

Karena peretas mengincar kredensial para pengembang program yang menggunakan Codecov, pelanggan produk ini pun perlu mengatur ulang kredensial dan kunci yang mungkin saja telah diketahui peretas sebagai bagian dari insiden ini. Tak hanya itu, perlu juga mengaudit sistem untuk mengidentifikasi adanya tanda-tanda aktivitas berbahaya yang sekiranya berada di lingkungan pelanggan.

Siapa aktor di balik serangan ini?

Sejauh ini tidak diketahui siapa peretas di balik skrip berbahaya yang dimasukkan ke perangkat lunak Codecov. Penyelidikan masih berlangsung.

Bagaimana Codecov telah memperbaiki kesalahan?

Sudah diperbaiki. Codecov mengklaim mengamankan skrip yang masuk dan keluar.Perusahaan mengatur ulang semua kredensial, mengaudit di mana dan bagaimana kunci dapat diakses, menyiapkan alat pemantauan dan audit untuk memastikan bahwa ini tidak lagi ada pada Bash Uploader.

Selain itu, bekerja sama dengan penyedia hosting dari server pihak ketiga untuk memastikan server web berbahaya telah dinonaktifkan dengan benar dan dapat diaudit untuk informasi tambahan.

Mereka juga menggandeng ahli forensik dan bekerja sama dengan aparat penegak hukum seperti Biro Investigasi Federal (FBI) untuk menyelidiki insiden ini.

Apa hasil investigasi sementar?

Belum banyak yang diberikan oleh Codecov, tetapi perusahaan telah menemukan alamat IP penyerang yang sekiranya digunakan untuk mengubah skri hingga alamat IP server tempat pengiriman informasi yang dicuri dari jarak jauh.

Dikutip dari BleepingComputer, Beberapa IP yang digunakan mengubah skrip Bash Uploader yakni berasal daru 79.135.72.34. Sementara, IP tujuan pengiriman data dari Bash Uploader yang disusupi peretas itu antara lain 178.62.86.114 dan 104.248.94.23.

Alamat IP lain yang diidentifikasi dalam penyelidikan sementara Codecov yang terkait dengan pelaku dan akun terkait, antara lain 185.211.156.78 dan 91.194.227.*.

BleepingComputer juga memberikan IP yang kemungkinan terkait dengan insiden, tetapi belum dikonfirmasi oleh Codecov, yakni

• 5.189.73.*
• 218.92.0.247
• 122.228.19.79
• 106.107.253.89
• 185.71.67.56
• 45.146.164.164
• 118.24.150.193
• 37.203.243.207
• 185.27.192.99.[]

Redaktur: Andi Nugroho