Coinbase repousse une attaque ciblée contre GitHub Actions lors d'une tentative d'intrusion à un stade précoce

Des experts en sécurité affirment que la plateforme d'échange Coinbase, cotée en bourse, était la cible principale de l'attaque visant la chaîne d'approvisionnement de GitHub Actions. Selon les entreprises de cybersécurité qui ont analysé l'dent, l'attaquant a d'abord tenté de compromettre le projet open source agentkit de Coinbase.

Ce n'est qu'après cet échec qu'ils ont décidé d'attaquer GitHub Actions et de cibler plusieurs dépôts. Selon les rapports, l'attaquant se concentrait probablement sur le projet Coinbase afin de pouvoir accéder à l'écosystème d'échange et voler des cryptomonnaies.

Cependant, leur objectif a échoué car Coinbase a également détecté l'attaque à temps et en a atténué les conséquences. Selon la société de cybersécurité Wiz, son analyse des identités GitHubdentlors de l'attaque montre que l'attaquant est actif au sein de la communauté crypto et opère probablement depuis l'Europe ou l'Afrique.

Bien que Coinbase n'ait pas commenté publiquement l'incidentdentdes experts affirment que la plateforme a confirmé l'avoir résolu. Leur analyse a révélé que des acteurs malveillants avaient injecté du code dans le répertoire « tj-actions/changed-files » afin de divulguer des données sensibles provenant des dépôts exécutant ce processus.

Coinbase ayant neutralisé l'attaque ciblée, il semblerait que le pirate ait décidé de s'en prendre à GitHub Actions, une plateforme très populaire, par le biais d'une attaque de la chaîne d'approvisionnement. Endor Labs a découvert que l'attaque avait compromis 218 dépôts GitHub, les contraignant à révéler leurs secrets.

Cependant, la majorité des informations divulguées concernaient lesdentd'installation d'Amazon Web Services, de npm, de Docker Hub et de GitHub. L'impact a donc été moindre que prévu, car la plupart des informations divulguées étaient des jetons GitHub qui ont expiré après l'exécution du processus.

Henrik Plate, chercheur chez Endor Labs, a déclaré :

« L’ampleur initiale de l’attaque contre la chaîne d’approvisionnement était effrayante, étant donné que des dizaines de milliers de dépôts dépendent de GitHub Action. »

Parallèlement, les experts en sécurité examinent les motivations de l'attaque. Nombreux sont ceux qui pensent que l'objectif était probablement de dérober des crypto-actifs à Coinbase. Toutefois, la réaction rapide de Coinbase facedent l'incident a peut-être incité l'attaquant à modifier sa stratégie, passant d'une attaque furtive et ciblée à une attaque de grande envergure afin de compromettre de nombreux projets.

Les projets crypto restent menacés

Parallèlement, cet échec d'attaque met en lumière les menaces constantes qui pèsent sur les projets crypto. Yu Jian, qui a partagé l'dentdentdent dentdentdentdent dentdent .

Sa déclaration fait référence au récent piratage de la plateforme d'échange ByBit, d'une valeur de 1,5 milliard de dollars, en février 2025. Jian a ajouté que les entreprises qui utilisent tj-actions ou reviewdog doivent procéder à un auto-examen pour s'assurer que leurs secrets n'ont pas été divulgués.

Il est intéressant de noter que des attaques de ce type sur la chaîne d'approvisionnement ont déjà entraîné des pertes considérables. En 2024, un utilisateur a perdu 10 BTC, soit 725 000 $, suite à une attaque exploitant les mises à jour du package npm Lottie Player, une bibliothèque d'animation JavaScript utilisée par plusieurs applications décentralisées.

, après avoir transféré ses actifs vers des actifs physiques, ZOTH a perdu plus de 8 millions de dollars suite à la modification de son contrat logiquetracun code malveillant, après qu'un individu malveillant a obtenu des privilèges d'administrateur.