Github eylemini içeren tedarik zinciri saldırısı, “TJ-Actions/Chanes-Files”, Coinbase’in açık kaynaklı projelerinden birine karşı, kapsamda daha yaygın bir şeye dönüşmeden önce yüksek derecede hedefli bir saldırı olarak başladı.
Palo Alto Networks Birimi 42 bir raporda, “Yük, açık kaynak projelerinden birinin kamu CI/CD akışından yararlanmaya odaklandı – AgentKit, muhtemelen daha fazla uzlaşma için yararlanmak amacıyla.” Dedi. “Ancak, saldırgan Coinbase sırlarını kullanamadı veya paket yayınlayamadı.”
Olay, 14 Mart 2025’te, “TJ-Actions/Değişmiş Dosyalar” ın iş akışını yöneten depolardan hassas sırları sızdıran kod enjekte etmek için tehlikeye atıldığı tespit edildi. CVE tanımlayıcısı CVE-2025-30066 (CVSS skoru: 8.6) atandı.
Endor Labs’a göre, 218 GitHub depolarının tedarik zinciri saldırısı nedeniyle sırlarını ortaya çıkardığı tahmin ediliyor ve sızdırılan bilgilerin çoğunluğu Dockerhub, NPM ve Amazon Web Hizmetleri (AWS) için “birkaç düzine” kimlik bilgilerini ve Github kurulum erişim tokenleri içeriyor.
Güvenlik Araştırmacısı Henrik Plate, “Tedarik zinciri saldırısının ilk ölçeği, on binlerce depoun GitHub eylemine bağlı olduğu düşünüldüğünde korkutucu geliyordu.” Dedi.
“Bununla birlikte, iş akışlarına, koşularına ve sızdırılan sırlara inmek, gerçek etkinin beklenenden daha küçük olduğunu gösteriyor: ‘Sadece’ 218 depo sızdırılmış sırlar ve bunların çoğunluğu, bir iş akışı çalışması tamamlandıktan sonra sona eren kısa ömürlü github_tokens.”
O zamandan beri, “TJ-Actions/Chaned-Files” ın “TJ-Actions/ESlint-Changed Files” yoluyla bağımlılık olarak dayandığı “ReviewDog/Action-Setup” adlı başka bir GitHub eyleminin V1 etiketinin, benzer bir yükle TJ-eylem olayına kadar uzatıldığı ortaya çıktı. “ReviewDog/Action-Setup” in ihlali CVE-2025-30154 (CVSS puanı: 8.6) olarak izleniyor.
CVE-2025-30154’ün sömürülmesinin, tanımlanamayan tehdit aktörünün “TJ-Actions/değiştirme dosyaları” ile ilişkili kişisel bir erişim belirteci (PAT) elde etmesini sağladığı, böylece depoyu değiştirmelerine ve kötü niyetli kodu itmelerine izin verdiği, bu da eyleme bağlı her Github deposununu etkilemesine izin verdiği söylenir.
“TJ-Actions/Eslint-Changed Files eylemi yürütüldüğünde, TJ-Actions/Değişen Files CI Runner’ın sırları sızdırıldığında, saldırganların TJ-Bot-ings Github kullanıcı hesabı (Pat) dahil olmak üzere Kişisel Erişim Toksisi (PAT) dahil olmak üzere, birim 42 araştırmacıları omer gild kullanıcı hesabı,” birim OMER GILAD kullanıcı hesabı, ” söz konusu.
Şu anda saldırganın, haydut değişiklikler yapmak için inceleme kuruluşuna yazma erişimi olan bir jetona bir şekilde erişmeyi başardığından şüpheleniliyor. Bununla birlikte, bu jetonun elde edilme şekli bu aşamada bilinmemektedir.
Ayrıca, “ReviewDog/Action-Setup” adlı kötü niyetli taahhütlerin, önce ilgili depoyu zorlaştırarak, ona değişiklikler yaparak ve daha sonra orijinal depoya çatal çekme isteği oluşturarak ve nihayetinde keyfi taahhütler getirerek yapıldığı söylenir.
Hacker News, “Saldırgan, sarkan taahhütlerden yararlanmak, birden fazla geçici Github kullanıcı hesabı oluşturmak ve iş akışı günlüklerinde faaliyetlerini gizlemek gibi çeşitli teknikler kullanarak önemli önlemler aldı.” Diyerek şöyle devam etti: “Bu bulgular, saldırganın son derece yetenekli olduğunu ve CI/CD güvenlik tehditleri ve saldırı taktikleri hakkında derin bir anlayışa sahip olduğunu gösteriyor.”
Ünite 42, çatal çekme isteğinin arkasındaki kullanıcı hesabının “ilrmkcu86tjwp8” ın, saldırganın Github’un politikasını ihlal ettiği tek kullanımlık (veya anonim) e -postaya kayıt sırasında verilen meşru bir e -posta adresinden değiştirildikten sonra kamuoyu görüşünden gizlenmiş olabileceğini teorize etti.
Bu, kullanıcının gerçekleştirdiği tüm etkileşimlerin ve eylemlerin gizlenmesine neden olabilir. Bununla birlikte, yorum için ulaşıldığında Github hipotezi onaylamadı veya reddetmedi, ancak durumu aktif olarak gözden geçirdiğini ve gerektiği gibi harekete geçtiğini söyledi.
Bir Gither sözcüsü Hacker News’e verdiği demeçte, “Şu anda GitHub veya sistemlerinin uzlaşmasını öneren bir kanıt yok. Vurgulanan projeler kullanıcı bakımından kaynaklanan açık kaynak projeleridir.” Dedi.
“GitHub, GitHub’ın kabul edilebilir kullanım politikalarına uygun olarak, kötü amaçlı yazılım ve diğer kötü amaçlı saldırılar da dahil olmak üzere depo içeriği ile ilgili kullanıcı raporlarını incelemeye ve harekete geçmeye devam ediyor. Kullanıcılar GitHub eylemlerini veya yeni sürümleri güncellemeden önce kodlarında kullandıkları diğer herhangi bir paketi her zaman gözden geçirmelidir.
GitHub TJ-Actions/Chanes-Files çatalları için daha derin bir arama, her ikisi de platformdan silinen diğer iki “2ft2dko28uaztz” ve “Mmvojwip” hesabının keşfedilmesine yol açtı. Her iki hesap da OnchainKit, Agentkit ve X402 gibi Coinbase ile ilgili depoların çatalları oluşturduğu bulunmuştur.
Daha fazla inceleme, hesapların, PAT kullanılarak daha önce yayınlanan “TJ-Actions/Değiştirme Dosyaları” nın kötü niyetli bir sürümüne işaret etmek için bir çatal çekme isteği kullanarak AgentKit deposundaki “Changelog.yml” dosyasını değiştirdiğini ortaya çıkardı.
Saldırganın, AgentKit deposuna yazma izinleri olan bir GitHub jetonu aldığına inanılıyor-bu da TJ-Actions/Chanes Files Github eylemlerinin yürütülmesi ile kolaylaştırıldı-yetkisiz değişiklikler yapmak için.
Vurgulamaya değer bir diğer önemli husus, her iki durumda da kullanılan yüklerdeki farktır, bu da saldırganın bir kısmında radarın altında kalma girişimlerini gösterir.
Gil, “Saldırgan saldırının farklı aşamalarında farklı yükler kullandı. Örneğin, yaygın saldırıda, saldırgan koşucunun hafızasını attı ve iş akışının günlüğüne çevre değişkenleri olarak depolanan sırlar, iş akışının günlüğüne bakılmaksızın,” dedi Gil.
“Ancak, Coinbase’i hedeflerken, saldırgan özellikle Github_token’i getirdi ve yükün yalnızca deponun Coinbase’e ait olması durumunda yürütülmesini sağladı.”
Şu anda kampanyanın nihai hedefinin ne olduğu bilinmemektedir, madeni paranın hiper spesifik hedeflemesi göz önüne alındığında, muhtemelen kripto para hırsızlığı yapmaya çalışarak, niyetin finansal kazanç olduğundan şüpheleniliyor. 19 Mart 2025 itibariyle kripto para birimi borsası saldırıyı düzeltti.
Saldırganın vites değiştirmeye neyin neden olduğunu neyin neyin tetiklediğini ve başlangıçta hedeflenen bir saldırı olan büyük ölçekli ve daha az gizli bir kampanyaya dönüştüğünü de açık değil.
Gil, “Bir hipotez, Coinbase deposunu zehirlemek için jetonundan yararlanamadıklarını fark ettikten sonra, Coinbase’in saldırıyı tespit ettiğini ve hafiflettiğini öğrendikten sonra-saldırganın TJ-eylemlerine/değişmiş dosya eylemine erişimi kaybetmekten korktuğunu söyledi.” Dedi.
Diyerek şöyle devam etti: “Bu eylemden ödün vermek diğer birçok projeye erişim sağlayabileceğinden, hızlı hareket etmeye karar vermiş olabilirler. Bu, Coinbase’in neden artan tespit riskine rağmen sonundaki maruziyeti azaltmasından sadece 20 dakika sonra yaygın saldırıyı başlattıklarını açıklayabilir.”