Araştırmacılar, Coinbase’in yüzlerce depoda sırları tehlikeye atan tedarik zinciri saldırısını basamaklı bir GitHub eylemlerinde birincil hedef olduğunu belirlediler.
Palo Alto Unit 42 ve Wiz’in yeni raporlarına göre, saldırı dikkatle planlandı ve kötü amaçlı kod enjekte edildiğinde başladı. reviewdog/action-setup@v1 Github eylemi. İhlalin nasıl meydana geldiği belirsizdir, ancak tehdit aktörleri eylemi CI/CD sırlarını ve kimlik doğrulama belirteçlerini GitHub eylem günlüklerine dökmek için değiştirdi.
Daha önce bildirildiği gibi, ihlalin ilk aşaması ReviewDog/Action-setup@V1 GitHub eyleminin uzlaşmasını içeriyordu. İhlalin nasıl meydana geldiği belirsizdir, ancak ilgili bir Github eylemi, tj-actions/eslint-changed-filesinceleme eylemini çağırarak sırlarının iş akışı günlüklerine atılmasına neden oldu.
Bu, tehdit aktörlerinin, daha sonra kötü niyetli bir taahhüdü için kullanılan kişisel erişim belirteci çalmasına izin verdi. tj-actions/changed-files CI/CD sırlarını bir kez daha iş akışı günlüklerine döken GitHub eylemi.
Bununla birlikte, bu ilk taahhüt, Coinbase ve “MMVOJWIP” adlı başka bir kullanıcı için özellikle saldırgana ait bir hesap olan projeleri hedefledi.
Kaynak: Palo Alto Ünitesi 42
Değiştirilen dosya eylemi, Coinbase’s dahil olmak üzere 20.000’den fazla proje tarafından kullanıldı coinbase/agent kitAI ajanlarının blok zincirlerle etkileşime girmesine izin vermek için popüler bir çerçeve.
Ünite 42’ye göre, Coinbase’in AgentKit iş akışı, değişen dosya eylemlerini gerçekleştirdi ve tehdit aktörlerinin depoya yazma yaptıkları jetonları çalmasına izin verdi.
Palo Alto Birimi 42, “Saldırgan, TJ-Actions/Boed Files’e karşı daha büyük saldırının başlatılmasından iki saatten daha önce, 14 Mart 2025, 15:10 UTC’de Coinbase/AgentKit deposuna yazma izinleri olan bir gitithub jetonu aldı.”
Ancak Coinbase daha sonra birim 42’ye saldırının başarısız olduğunu ve varlıklarının hiçbirini etkilemediğini söyledi.
Palo Alto Unit 42, “Bulgularımızla ilgili daha fazla ayrıntıyı Coinbase ile paylaşarak takip ettik, bu da saldırının AgentKit projesine veya başka bir Coinbase varlığına zarar vermede başarısız olduğunu belirtti.”
Ünite 42 ve Wiz’in raporları, kampanyanın başlangıçta Coinbase’e odaklandığını ve ilk girişimleri başarısız olduktan sonra TJ-Actions/değiştirme dosyalarını kullanan tüm projelere genişlediğini doğrulamaktadır.
23.000 proje değişmiş dosya eylemini kullanırken, sadece 218 depo nihayetinde ihlalden etkilendi.
BleepingComputer, olay hakkında Coinbase ile de temasa geçti, ancak sorularımıza bir cevap almadı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.