Cercetătorii au determinat că Coinbase a fost principalul obiectiv într-un recent atac cascading supply chain asupra GitHub Actions care a compromis secretele în sute de repository-uri.
Potrivit unor rapoarte noi de la Palo Alto Unit 42 și Wiz, atacul a fost planificat cu grijă și a început atunci când codul malitios a fost injectat în acțiunea GitHub reviewdog/action-setup@v1. Nu este clar cum s-a produs breșa, dar actorii amenințării au modificat acțiunea pentru a descărca secretele CI/CD și tokenurile de autentificare în jurnalele acțiunilor GitHub.
Conform informațiilor anterioare, prima etapă a breșei a implicat compromiterea acțiunii GitHub reviewdog/action-setup@v1. Nu este clar cum s-a produs breșa, dar atunci când o acțiune GitHub conexă, tj-actions/eslint-changed-files, a invocat acțiunea reviewdog, determinând descărcarea secretelor în jurnalele fluxurilor de lucru.
Acest lucru a permis actorilor amenințării să fure un Personal Access Token care a fost apoi folosit pentru a împinge o comandă malitioasă către acțiunea GitHub tj-actions/changed-files care din nou descarcă secretele CI/CD în jurnalele fluxurilor de lucru.
Cu toate acestea, această comandă inițială viza în mod special proiectele pentru Coinbase și pentru un alt utilizator numit „mmvojwip,” un cont aparținând atacatorului.
Acțiunea changed-files a fost utilizată de peste 20.000 de alte proiecte, inclusiv coinbase/agent kit al Coinbase, un cadru popular pentru permiterea agenților de AI să interacționeze cu blockchains.
Potrivit Unit 42, fluxul de lucru al agentkit al Coinbase a executat acțiunile changed-files, permițând actorilor amenințării să fure tokenuri care le-au acordat acces de scriere la repository.
„Atacatorul a obținut un token GitHub cu permisiuni de scriere pentru repository-ul coinbase/agentkit la 14 martie 2025, 15:10 UTC, cu mai puțin de două ore înainte ca atacul mai amplu să fie inițiat împotriva tj-actions/changed-files,” a explicat Palo Alto Unit 42.
Cu toate acestea, Coinbase a informat ulterior Unit 42 că atacul a eșuat și nu a afectat niciunul dintre activele lor.
„Am urmat cu împărtășirea unor detalii suplimentare ale descoperirilor noastre cu Coinbase, care a declarat că atacul nu a reușit să provoace vreo pagubă proiectului agentkit sau oricărui alt activ Coinbase,” raportează Palo Alto Unit 42.
Rapoartele Unit 42 și Wiz confirmă că campania a fost inițial concentrată pe Coinbase și s-a extins la toate proiectele care utilizează tj-actions/changed-files odată ce încercarea lor inițială a eșuat.
În timp ce 23.000 de proiecte au utilizat acțiunea changed-files, doar 218 repository-uri au fost afectate în final de breșă.
BleepingComputer a contactat, de asemenea, Coinbase în legătură cu incidentul, dar nu a primit un răspuns la întrebările noastre.
Pe baza unei analize a 14 milioane de acțiuni malitioase, descoperiți cele mai bune 10 tehnici MITRE ATT&CK din spatele a 93% din atacuri și cum să vă apărați împotriva lor.
Oracle neagă breșa după ce un hacker pretinde furtul a 6 milioane de înregistrări de date
Atacul de tip supply chain asupra GitHub Actions a expus secretele în 218 repos
Breșa datelor sindicatului de educație din Pennsylvania a afectat 500.000 de persoane
Se crede că un atac asupra GitHub Actions a condus probabil la un altul într-un atac cascading supply chain
Atacul de tip supply chain asupra unei acțiuni populare GitHub a expus secretele CI/CD
Leave a Reply