TL;DR
もしCodecovをCI(GitHub Actions等)で使っているなら、設定している全トークンを無効化・再生成すること。よくわからないなら、念のためやること。
概要
4月1日、ユーザーにCodecovから「Bash Uploaderのチェックサムが合わない」と連絡があり、調査の結果、1月31日以降Bash Uploaderのスクリプトが定期的に改ざんされていたことが判明。このスクリプトは**CodecovのGitHub Actions**、CircleCI Orb、Codecov Bitrise Stepでも使用されている。結果、CI上で攻撃者がコードを実行できる状態であった。
CI上では、多くの場合、環境変数としてトークンなどが渡されるため、こうしたトークンは、漏洩した可能性がある。
なお、被害にあった可能性のあるユーザーにはメールが届いている。(当たり前だが、届かないからと言って安全であるわけではない。)
対策
CodecovのCI等から参照可能な環境変数に、トークンが含まれる場合は、それを無効化すること。GitHubでは、リポジトリの"Settings"タブの"Secrets"に掲載されているものすべて。
なお、念のため、これらのトークンが不正使用されていないかもチェックすること。