Coinbase wehrt gezielten GitHub-Action-Angriff in einem frühen Stadium ab

Sicherheitsexperten gehen davon aus, dass die börsennotierte Kryptobörse Coinbase das Hauptziel des Lieferkettenangriffs bei GitHub Action war. Laut den Cybersicherheitsfirmen, die dendentanalysierten, versuchte der Angreifer zunächst, das Open-Source-Projekt AgentKit von Coinbase zu kompromittieren.

Erst nachdem dieser Versuch scheiterte, beschlossen sie, GitHub Action anzugreifen und mehrere Repositories ins Visier zu nehmen. Berichten zufolge konzentrierte sich der Angreifer vermutlich auf das Coinbase-Projekt, um sich so Zugang zum Börsenökosystem zu verschaffen und Kryptowährungen zu stehlen.

Ihr Ziel blieb jedoch unerfüllt, da Coinbase den Angriff rechtzeitig erkannte und seine Auswirkungen abmilderte. Laut dem Cybersicherheitsunternehmen Wiz deuten Analysen der im Angriff verwendeten GitHub-dentdarauf hin, dass der Angreifer in der Krypto-Community aktiv ist und wahrscheinlich aus Europa oder Afrika operiert.

Obwohl Coinbase dendent, geben Experten an, dass die Börse die Behebung des Problems bestätigt hat. Analysen von Experten ergaben, dass Angreifer Code in „tj-actions/changed-files“ eingeschleust hatten, um sensible Daten aus Repositories, die den Workflow ausführten, auszulesen.

Nachdem Coinbase den gezielten Angriff gestoppt hatte, schien der Angreifer beschlossen zu haben, die beliebte GitHub Action mit einem Lieferkettenangriff ins Visier zu nehmen. Endor Labs entdeckte, dass der Angriff 218 GitHub-Repositories kompromittiert und sie zur Preisgabe ihrer Daten gezwungen hatte.

Der Großteil der durchgesickerten Informationen bestand jedoch ausdentfür Amazon Web Services, npm, Docker Hub und GitHub-Zugriffstoken. Dadurch fielen die Auswirkungen geringer aus als ursprünglich befürchtet, da es sich bei den meisten durchgesickerten Informationen um GitHub-Token handelte, die nach Abschluss des Workflows abliefen.

Henrik Plate, Forscher bei Endor Labs, sagte:

„Das anfängliche Ausmaß des Lieferkettenangriffs klang beängstigend, wenn man bedenkt, dass Zehntausende von Repositories von der GitHub Action abhängen.“

Unterdessen untersuchen Sicherheitsexperten auch das Motiv des Angriffs. Viele vermuten, dass das Ziel der Diebstahl von Krypto-Assets von Coinbase war. Da Coinbase den Vorfall jedoch rechtzeitig beheben konnte,dent der Angreifer seine Vorgehensweise geändert haben und von einem gezielten, verdeckten Angriff zu einem groß angelegten Angriff übergegangen sein, um zahlreiche Projekte zu kompromittieren.

Kryptoprojekte bleiben bedroht

Der gescheiterte Angriff verdeutlicht die anhaltenden Bedrohungen für Kryptoprojekte. Yu Jian, der den Vorfall auf X teiltedentdentdent dentdentdentdent dentdent .

In seiner Aussage bezieht er sich auf den kürzlich erfolgten Hackerangriff auf die ByBit-Börse im Februar 2025, bei dem 1,5 Milliarden US-Dollar erbeutet wurden. Jian fügte hinzu, dass Unternehmen, die tj-actions oder reviewdog nutzen, eine Selbstprüfung durchführen müssen, um sicherzustellen, dass ihre Geschäftsgeheimnisse nicht durchgesickert sind.

Interessanterweise haben Angriffe auf Lieferketten dieser Art bereits in der Vergangenheit zu massiven Verlusten geführt. Im Jahr 2024 verlor ein Nutzer 10 BTC im Wert von 725.000 US-Dollar durch einen Angriff, der die Aktualisierungen des Lottie Player npm-Pakets ausnutzte, einer JavaScript-Animationsbibliothek, die von mehreren dezentralen Anwendungen verwendet wird.

, das Assets gegen reale Vermögenswerte umtauschte, ZOTH über 8 Millionen US-Dollar, weil der Logikvertrag durch Schadcode manipuliert wurde,tracein Angreifer Administratorrechte erlangt hatte.