Coinbase отразила целенаправленную атаку на GitHub Actions на ранней стадии попытки взлома

Эксперты по безопасности утверждают, что публично котируемая биржа Coinbase стала основной целью атаки на цепочку поставок GitHub Actions. По данным компаний, занимающихся кибербезопасностью и анализирующихdent, злоумышленник первоначально пытался скомпрометировать агентский набор инструментов (gentkit) проекта с открытым исходным кодом Coinbase.

Только после неудачи в этом направлении они решили атаковать GitHub Actions и нацелились на несколько репозиториев. Согласно сообщениям, злоумышленник, вероятно, сосредоточился на проекте Coinbase, чтобы использовать его для доступа к экосистеме биржи и кражи криптоактивов.

Однако им не удалось достичь своей цели, поскольку Coinbase также вовремя обнаружила атаку и смягчила ее последствия. По данным компании Wiz, занимающейся кибербезопасностью, анализ учетныхdent, использованных в атаке, показывает, что злоумышленник активен в криптосообществе и, вероятно, действует из Европы или Африки.

Хотя Coinbase публично не комментировала инцидентdentэксперты утверждают, что биржа подтвердила его устранение. Экспертный анализ показал, что злоумышленники внедрили код в файл «tj-actions/changed-files», чтобы получить доступ к конфиденциальным данным из репозиториев, в которых запущен этот рабочий процесс.

После того, как Coinbase пресекла целенаправленную атаку, стало ясно, что злоумышленник решил атаковать популярный GitHub Actions, используя атаку на цепочку поставок. Компания Endor Labs обнаружила, что атака скомпрометировала 218 репозиториев GitHub, вынудив их раскрыть свои секреты.

Однако большая часть утекшей информации представляла собойdentданные для Amazon Web Services, npm, Dockerhub и токены доступа к установке GitHub. Это означало, что последствия оказались меньше, чем опасались ранее, поскольку большинство утекших секретов представляли собой токены GitHub, срок действия которых истекал после завершения выполнения рабочего процесса.

Исследователь из Endor Labs Хенрик Плате заявил:

«Первоначальные масштабы атаки на цепочку поставок казались пугающими, учитывая, что десятки тысяч репозиториев зависят от GitHub Actions»

Тем временем эксперты по безопасности также изучают мотивы атаки. Многие считают, что целью, вероятно, было похищение криптоактивов с Coinbase. Однако своевременное устранение инцидента со стороны Coinbasedent заставить злоумышленника изменить свой подход с скрытой атаки на крупномасштабную, что позволило бы ему скомпрометировать множество проектов.

Криптовалютные проекты по-прежнему находятся под угрозой

Между тем, неудачная атака подчеркивает постоянные угрозы в адрес криптопроектов. Основатель SlowMist Юй Цзянь, который поделился информацией об инцидентеdentdentdent dentdentdentdent dentdent .

В своем заявлении он упомянул недавний взлом биржи ByBit в феврале 2025 года, в результате которого было взломано 1,5 миллиарда долларов. Цзянь добавил, что компаниям, использующим tj-actions или reviewdog, необходимо провести самопроверку, чтобы убедиться в отсутствии утечки их секретной информации.

Интересно, что подобные атаки на цепочки поставок и раньше приводили к огромным убыткам. В 2024 году один пользователь потерял 10 BTC, что эквивалентно 725 000 долларов, в результате атаки, использующей уязвимости в обновлении пакета npm Lottie Player — библиотеки анимации на JavaScript, которую используют несколько децентрализованных приложений.

Кроме того, в пространстве Web3 по-прежнему распространены различные виды уязвимостей в системе безопасности. Несколько дней назад компания ZATH потеряла более 8 миллионов долларов, вернув свои активы в стейкинг за реальные деньги, из-за модификации своего логического контрактаtracкодом после того, как злоумышленник получил права администратора.