严格来说，Bash Uploader脚本被篡改，将导致：

• 用户执行Bash Uploader脚本时，通过其CI运行器传递的任何凭据，令牌或密钥都可以被攻击者访问。
• 攻击者可以使用这些凭据、令牌或密钥访问任何服务、数据存储和应用程序代码。
• 使用Bash Uploaders将覆盖范围上传到CI中的Codecov的存储库的git远程信息(原始存储库的URL)。

此次事件对于Codecov的用户来说无异于无妄之灾。首先，Codecov并不是一家公开上市的公司，只有数十名员工，年收入为数百万美元，相比SolarWinds和Microsoft显得不具备太大的吸引力。因此，可以合理判断攻击者入侵该平台更多是作为供应链攻击的考虑，获取其客户的访问权限对攻击者来说更有价值。

据悉，由于Codecov被行业内多家公司用来测试代码错误和漏洞，其客户包括了消费品集团宝洁公司、网络托管公司GoDaddy Inc、华盛顿邮报和澳大利亚软件公司Atlassian Corporation PLC等。虽然暂时还没有相关受害者发表声明，但攻击者很可能已经有所”收获“。

入侵持续至少2个月

攻击从1月31日就开始进行，但第一个客户发现不对劲时已经是4月1日，这表示被入侵的软件在长达数月时间里正常流通，潜在受害者无数。

目前，美国联邦调查局正在调查此事，但暂时没有公开对此事进行详细说明。Codecov则已经对可能受影响的脚本进行了保护和修复，并且给受影响的用户发了电子邮件。不过暂时没有透露这些用户的信息。