Coinbase respinge un attacco mirato a GitHub Action in un tentativo di violazione in fase iniziale

Gli esperti di sicurezza affermano che la borsa quotata in borsa Coinbase è stata l'obiettivo principale dell'attacco alla supply chain di GitHub Action. Secondo le società di sicurezza informatica che hanno analizzato l'dent, l'aggressore ha inizialmente tentato di compromettere l'agentkit del progetto open source Coinbase.

Solo dopo aver fallito nel loro intento, hanno deciso di attaccare GitHub e prendere di mira diversi repository. Secondo i report, l'aggressore si stava probabilmente concentrando sul progetto Coinbase, in modo da poterlo utilizzare per accedere all'ecosistema di exchange e rubare criptovalute.

Tuttavia, non sono riusciti a raggiungere il loro obiettivo poiché anche Coinbase ha rilevato l'attacco in tempo e ne ha mitigato l'impatto. Secondo la società di sicurezza informatica Wiz, la sua analisi delledentutilizzate nell'attacco mostra che l'aggressore è attivo nella comunità crypto e probabilmente opera dall'Europa o dall'Africa.

Sebbene Coinbase non abbia commentato pubblicamente l'incidentedentgli esperti affermano che l'exchange ha confermato di averlo risolto. L'analisi degli esperti ha mostrato che degli hacker hanno iniettato del codice in "tj-actions/changed-files" per sottrarre dati sensibili dai repository che eseguono il flusso di lavoro.

Dopo che Coinbase ha bloccato l'attacco mirato, sembra che il malintenzionato abbia deciso di colpire la popolare GitHub Action con un attacco alla supply chain. Endor Labs ha scoperto che l'attacco ha compromesso 218 repository GitHub, costringendoli a rivelare i propri segreti.

Tuttavia, la maggior parte delle informazioni trapelate riguardava ledentper Amazon Web Services, npm, Dockerhub e i token di installazione per l'accesso a GitHub. Ciò significa che l'impatto è stato minore di quanto inizialmente temuto, poiché la maggior parte dei segreti trapelati erano token GitHub scaduti al termine dell'esecuzione del flusso di lavoro.

Henrik Plate, ricercatore di Endor Labs, ha affermato:

"La portata iniziale dell'attacco alla supply chain sembrava spaventosa, considerando che decine di migliaia di repository dipendono da GitHub Action."

Nel frattempo, gli esperti di sicurezza stanno anche esaminando il movente dell'attacco. Molti ritengono che l'obiettivo fosse probabilmente quello di rubare criptovalute da Coinbase. Tuttavia, la tempestiva risoluzione dell'incidente da parte di Coinbasedent aver indotto l'aggressore a cambiare approccio, passando da un attacco stealth a un attacco su larga scala, in modo da compromettere numerosi progetti.

I progetti crittografici restano a rischio

Nel frattempo, l'attacco fallito evidenzia le costanti minacce contro i progetti crypto. Il fondatore di SlowMist, Yu Jian, che ha condiviso l'incidentedent X, ha affermato che se l'attacco fosse avvenuto, Coinbase sarebbe diventata il prossimo grande incidente di sicurezzadent .

La sua dichiarazione fa riferimento al recente attacco hacker da 1,5 miliardi di dollari ai danni dell'exchange ByBit nel febbraio 2025. Jian ha aggiunto che le aziende che utilizzano tj-actions o reviewdog devono effettuare un'autoanalisi per assicurarsi che i loro segreti non siano trapelati.

È interessante notare che attacchi alla supply chain come questo hanno già causato perdite ingenti in passato. Nel 2024, un utente ha perso 10 BTC per un valore di 725.000 dollari a causa di un attacco che sfruttava gli aggiornamenti del pacchetto npm di Lottie Player, una libreria di animazione Javascript utilizzata da diverse applicazioni decentralizzate.

Oltre a ciò, gli exploit di sicurezza in diverse forme rimangono comuni nello spazio Web3. Pochi giorni fa, durante la riqualificazione di asset per risorse reali, ZOTH ha perso oltre 8 milioni di dollari a causa della modifica del suotraccon codice dannoso dopo che il malintenzionato ha ottenuto privilegi di amministratore.