Monday.com a récemment révélé l’impact de l’attaque de la chaîne d’approvisionnement de Codecov qui a affecté plusieurs entreprises.

Monday.com est une plateforme de gestion de flux de travail en ligne utilisée par les chefs de projet, les professionnels des ventes et du CRM, les équipes marketing et divers autres services organisationnels.

Les clients de la plate-forme comprennent des noms de premier plan tels que Uber, BBC Studios, Adobe, Universal, Hulu, L’Oréal, Coca-Cola et Unilever.

Comme l’a rapporté BleepingComputer le mois dernier, l’outil de couverture de code populaire Codecov avait été victime d’une attaque de la chaîne d’approvisionnement qui a duré deux mois.

Au cours de cette période de deux mois, les acteurs de la menace avaient modifié l’outil légitime Codecov Bash Uploader pour exfiltrer les variables d’environnement (contenant des informations sensibles telles que les clés, les jetons et les informations d’identification) des environnements CI / CD des clients Codecov.

En utilisant les informations d’identification collectées sur le Bash Uploader falsifié, les attaquants de Codecov auraient violé des centaines de réseaux clients.

Code source de Monday.com consulté dans l’attaque Codecov

Le client de Codecov Monday.com a récemment annoncé avoir été touché par l’attaque de la chaîne d’approvisionnement de Codecov.

Dans un formulaire F-1 déposé cette semaine auprès de la Securities and Exchange Commission (SEC) des États-Unis pour l’offre publique initiale (IPO) proposée par Monday.com, la société a partagé des détails sur l’étendue de la violation de Codecov.

Après son enquête sur la violation de Codecov, Monday.com a constaté que des acteurs non autorisés avaient eu accès à une copie en lecture seule de leur code source.

Cependant, la société déclare, à ce jour, qu’il n’y a aucune preuve que le code source a été falsifié par les attaquants, ou que l’un de ses produits est impacté.

De plus, « l’attaquant a accédé à un fichier contenant une liste de certaines URL pointant vers des formulaires client diffusés publiquement et des vues hébergées sur notre plateforme et nous avons contacté les clients concernés pour leur expliquer comment les régénérer …