코인베이스, GitHub Action에 대한 표적 공격 초기 단계에서 방어 성공

보안 전문가들은 상장 거래소인 코인베이스가 깃허브 액션 공급망 공격의 주요 표적이었다고 주장합니다. 이번dent분석한 사이버 보안 업체들에 따르면, 공격자는 처음에 코인베이스의 오픈 소스 프로젝트인 에이전트킷을 탈취하려 시도했습니다.

이 시도가 실패한 후에야 그들은 GitHub Actions를 공격하고 여러 저장소를 표적으로 삼기로 결정했습니다. 보고서에 따르면 공격자는 Coinbase 프로젝트를 집중적으로 노린 것으로 보이며, 이를 통해 거래소 생태계에 접근하여 암호화폐 자산을 탈취하려 했던 것으로 추정됩니다.

하지만 코인베이스가 공격을 조기에 감지하고 피해를 최소화하면서 그들의 목표는 달성되지 못했습니다. 사이버 보안 회사 위즈(Wiz)에 따르면, 허브(GitHub) 아이디 분석 결과dent공격자는 암호화폐 커뮤니티에서 활동 중이며 유럽이나 아프리카에서 활동하는 것으로 추정됩니다.

에 대해 공식적인 입장을 밝히지 않았지만dent, 전문가들은 코인베이스가 문제를 해결했다고 확인했다고 주장합니다. 전문가 분석에 따르면 악의적인 공격자가 "tj-actions/changed-files"에 코드를 삽입하여 워크플로우를 실행하는 저장소에서 민감한 데이터를 유출한 것으로 나타났습니다.

코인베이스가 표적 공격을 중단하자, 공격자는 인기 있는 깃허브 액션(GitHub Actions)을 대상으로 공급망 공격을 감행한 것으로 보입니다. 엔도르 랩(Endor Labs)은 이 공격으로 218개의 깃허브 리포지토리가 손상되어 비밀 키가 노출된 것을 발견했습니다.

하지만 유출된 정보의 대부분은 Amazon Web Services, npm, Dockerhub 및 GitHub 액세스 설치 토큰에 대한dent증명이었습니다. 이는 유출된 비밀 정보 대부분이 워크플로 실행 완료 후 만료되는 GitHub 토큰이었기 때문에 영향이 당초 우려했던 것보다 작았음을 의미합니다.

엔도르 랩스의 연구원 헨릭 플레이트는 다음과 같이 말했습니다

"수만 개의 저장소가 GitHub Action에 의존하고 있다는 점을 고려하면, 공급망 공격의 초기 규모는 매우 위협적으로 들렸습니다."

한편, 보안 전문가들은 이번 공격의 동기를 조사하고 있습니다. 많은 전문가들은 이번 공격의 목적이 코인베이스에서 암호화폐 자산을 탈취하는 것이었을 가능성이 높다고 보고 있습니다. 그러나 코인베이스가dent 공격자가 은밀한 표적 공격에서 더 많은 프로젝트를 대상으로 하는 대규모 공격으로 전략을 변경했을 수도 있습니다.

암호화폐 프로젝트는 여전히 위협에 직면해 있습니다

한편, 이번 공격 실패는 암호화폐 프로젝트를 향한 끊임없는 위협을 부각시켰습니다. (Yu Jian) 공유한dent 은 만약 공격이 실제로 발생했다면 코인베이스(Coinbase)가 다음 주요 보안 사고 사례가 되었을 것이라고dent .

그의 발언은 2025년 2월에 발생한 15억 달러 규모의 바이비트(ByBit) 거래소 해킹 사건을 언급한 것입니다. 지안은 또한 tj-actions나 reviewdog을 사용하는 기업들은 기밀 정보 유출 여부를 확인하기 위해 자체 점검을 실시해야 한다고 덧붙였습니다.

흥미롭게도, 이와 같은 공급망 공격은 이전에도 막대한 손실을 초래한 적이 있습니다. 2024년에는 한 사용자가 여러 탈중앙화 애플리케이션에서 사용하는 자바스크립트 애니메이션 라이브러리인 Lottie Player npm 패키지의 업데이트를 악용한 공격으로 72만 5천 달러 상당의 10 BTC를 잃었습니다.

그뿐 아니라, 웹3 공간에서는 다양한 형태의 보안 공격이 여전히 빈번하게 발생합니다. 며칠 전, ZOTH는 로직 계약을 변조하는 바람에 800만 달러 이상의 손실을 입었습니다trac에서 악의적인 공격자가 관리자 권한을 획득하여