Coinbase se defiende de un ataque dirigido a GitHub Action en un intento de violación de seguridad en etapa inicial

Los expertos en seguridad afirman que Coinbase, la plataforma de intercambio que cotiza en bolsa, fue el objetivo principal del ataque a la cadena de suministro de GitHub Action. Según las empresas de ciberseguridad que analizaron eldent, el atacante intentó inicialmente comprometer el proyecto de código abierto de Coinbase, agentkit.

Fue solo después de fracasar en esto que decidieron atacar GitHub Action y atacar varios repositorios. Según los informes, el atacante probablemente se centraba en el proyecto Coinbase para usarlo para acceder al ecosistema de intercambio y robar criptoactivos.

Sin embargo, no lograron su objetivo, ya que Coinbase también detectó el ataque a tiempo y mitigó su impacto. Según la firma de ciberseguridad Wiz, su análisis de lasdentutilizadas en el ataque muestra que el atacante participa activamente en la comunidad cripto y probablemente opera desde Europa o África.

Aunque Coinbase no se ha pronunciado públicamente sobre el incidentedentlos expertos afirman que la plataforma confirmó haberlo resuelto. Un análisis experto reveló que actores maliciosos inyectaron código en “tj-actions/changed-files” para filtrar datos confidenciales de los repositorios que ejecutaban el flujo de trabajo.

Tras la detención del ataque dirigido por Coinbase, se supo que el atacante decidió atacar la popular GitHub Action con un ataque a la cadena de suministro. Endor Labs descubrió que el ataque comprometió 218 repositorios de GitHub, obligándolos a revelar sus secretos.

Sin embargo, la mayor parte de la información filtrada correspondía adentde Amazon Web Services, npm, Dockerhub y tokens de instalación de acceso a GitHub. Esto significó que el impacto fue menor de lo que se temía, ya que la mayoría de los secretos filtrados eran tokens de GitHub que expiraron tras completarse la ejecución del flujo de trabajo.

Henrik Plate, investigador de Endor Labs, dijo:

“La escala inicial del ataque a la cadena de suministro sonaba aterradora, considerando que decenas de miles de repositorios dependen de GitHub Action”

Mientras tanto, expertos en seguridad también investigan el motivo del ataque. Muchos creen que el objetivo probablemente era robar criptoactivos de Coinbase. Sin embargo, la solución a tiempo por parte de Coinbasedent haber llevado al atacante a cambiar su enfoque de un ataque sigiloso a uno a gran escala para comprometer numerosos proyectos.

Los proyectos de criptomonedas siguen bajo amenaza

Mientras tanto, el ataque fallido pone de relieve las constantes amenazas contra los proyectos de criptomonedas. Yu Jian, quien compartió el incidentedentdentdent dentdentdentdent dentdent .

Su declaración hace referencia al reciente hackeo de $1.5 mil millones del intercambio ByBit en febrero de 2025. Jian agregó que las empresas que usan tj-actions o reviewdog necesitan realizar un autoexamen para asegurarse de que sus secretos no se hayan filtrado.

Curiosamente, ataques a la cadena de suministro como este ya han provocado pérdidas masivas. En 2024, un usuario perdió 10 BTC valorados en $725,000 debido a un ataque que explotaba las actualizaciones del paquete npm de Lottie Player, una biblioteca de animación de Java-script que utilizan varias aplicaciones descentralizadas.

Además, las vulnerabilidades de seguridad en diferentes formas siguen siendo comunes en el espacio Web3. Hace unos días, al revender activos por activos reales, ZOTH perdió más de 8 millones de dólares debido a la modificación de sutraccon código malicioso después de que el atacante obtuviera privilegios de administrador.