Dalış Kılavuzu:
- GitHub eylem tedarik zinciri saldırısındaki tehdit aktörleri, ilk dalgalarının bir parçası olarak Coinbase’i hedefliyordu. Palo Alto Networks Unit 42’den bir rapora göre. Wiz’den araştırmacılar Coinbase’in orijinal hedef olduğunu doğruladı Güncellenmiş bir blog gönderisinde.
- Saldırı, Crypto Borsası’nın AgentKit adlı açık kaynak projelerinden birinin halkın sürekli entegrasyonu/sürekli teslimat akışından yararlanmak için tasarlanmıştır. Araştırmacılar, saldırganların muhtemelen projeden ek uzlaşmalar için yararlanmak istediğini, ancak Coinbase sırlarına erişemediklerini veya paketlerden herhangi birini yayınlayamadıklarını söyledi.
- Pan araştırmacıları, saldırganın daha sonra birkaç gün daha büyük saldırılar üzerinde çalıştığını ve sonunda TJ-Actices/Dosyaların sürümlerinden ödün verdiğini söylüyor. Daha büyük saldırı dizisinden 23.000’den fazla depo riske atıldı; Bununla birlikte, birim 42 araştırmacıları, potansiyel riskin on binlerce kişiye daha yükseğe ulaşabileceği konusunda uyarıyor.
Dalış içgörü:
Daha önce bildirildiği gibi, saldırganlar zaten TJ-Actions/Değiştirilen dosyalara ve inceleme-Dog/Action-Setup/V1’e karşı saldırılar başlatmışlardı. İlgili uzlaşmalar şu şekilde izlenir CVE-2025-30066 Ve CVE-2025-30154.
14 Mart’ta keşfedilen TJ-Actions/Değişen dosyalara yönelik saldırı, kişisel erişim belirtecinin uzlaşmasıyla kötü amaçlı kod enjeksiyonunu içeriyordu. Sonuç olarak, kötü niyetli bir python betiği sırları sızdırmaya başladı.
Endor Labs daha önce söyledi 218 Depolar Sızan Sırlar TJ-Actions/Dosya Saldırısı ile ilgili.
İnceleme-Dog/Action-Setup/V1’e yapılan saldırı çok daha küçüktü, Wiz’deki araştırmacılara göre.
Bununla birlikte, ünite 42’den araştırmacılar, ILRMKU86TJWP8 adlı bir kullanıcının ReviewDog/Action-Setup deposunu çatalladığını ve daha sonra gözden kaybolduğunu buldular.
Palo Alto Networks kıdemli araştırma müdürü Omer Gil, “Coinbase sorunu sonlarında tespit ettikten ve hafiflettikten sonra, saldırgan TJ-aksiyon/değişmiş dosyaların tüm etiket sürümlerini etkileyerek yaygın saldırıyı gerçekleştirmeye karar verdi” dedi.
Ünite 42 araştırmacılarına göre, bu kullanıcı görünüşe göre çeşitli yükler içeren 13 taahhütte bulunmuştu. Kullanıcı ayrıca ReviewDog/Action-Typos deposunu çatalladı ve 15 daha fazla taahhütte bulundu. Forking, orijinal kaynak kodunu kopyalamayı ve ardından kopyada ek değişiklikler yapmayı içerir.
Birim 42 araştırmacılarına göre, saldırgan sonunda Coinbase/AgentKit deposuna TJ-Actices/Dosya saldırılarından sadece birkaç saat önce Coinbase/AgentKit deposuna yazma izinleri olan bir gitithub jetonu aldı.
Ünite 42 araştırmacılar, iş akışını kaldırdıklarını doğrulayan ve bulgularını Coinbase ile paylaşan Coinbase bakıcısıyla temasa geçti.
Coinbase sözcüsü hemen yorum yapmak için mevcut değildi.