Tyrėjai nustatė, kad „Coinbase“ buvo pagrindinis tikslas atliekant neseniai vykusį „GitHub“ veiksmus, kaskaduodami tiekimo grandinės ataką, kuri pakenkė šimtams saugyklų paslapčių.
Remiantis naujais „Palo Alto 42“ ir „Wiz“ pranešimais reviewdog/action-setup@v1 „GitHub“ veiksmas. Neaišku, kaip įvyko pažeidimas, tačiau grėsmės veikėjai pakeitė veiksmą, kad išmestų CI/CD paslaptis ir autentifikavimo žetonus į „GitHub“ veiksmų žurnalus.
Kaip pranešta anksčiau, pirmajame pažeidimo etape buvo susijęs su „ReviewDog“/„Action-Setup@V1 GitHub“ veiksmo kompromisu. Neaišku, kaip įvyko pažeidimas, bet kai susijęs github veiksmas, tj-actions/eslint-changed-filesiškvietė „ReviewDog“ veiksmą, dėl kurio jos paslaptys bus išmestos į darbo eigos žurnalus.
Tai leido grėsmės aktoriams pavogti asmeninės prieigos prieigos raktą, kuris vėliau buvo naudojamas siekiant paskatinti kenksmingą įsipareigojimą tj-actions/changed-files „GitHub“ veiksmas, kuris dar kartą pašalina CI/CD paslaptis į darbo eigos žurnalus.
Tačiau šis pradinis įsipareigojimas konkrečiai nukreipė „Coinbase“ projektus ir kitą vartotoją, pavadintą „MMVOJWIP“, sąskaitą, priklausančią užpuolikui.
Šaltinis: „Palo Alto“ 42 skyrius
Pasikeitusį failų veiksmą naudojo daugiau nei 20 000 kitų projektų, įskaitant „Coinbase“ coinbase/agent kitpopuliari sistema, leidžianti AI agentams bendrauti su „blockchains“.
Anot 42 skyriaus, „Coinbase“ „AgentKit“ darbo eiga atliko pasikeitusių failų veiksmus, leisdama grėsmės veikėjams pavogti žetonus, kurie suteikė jiems prieigą prie saugyklos.
„Užpuolikas gavo„ GitHub “žetoną su rašymo leidimais„ Coinbase/AgentKit “saugyklai 2025 m. Kovo 14 d., 15:10 UTC, likus mažiau nei dviem valandoms iki didesnio išpuolio prieš TJ veiksmus/pasikeitusius failus“,-aiškino Palo Alto 42 skyrius.
Tačiau „Coinbase“ vėliau 42 skyriui pasakė, kad išpuolis buvo nesėkmingas ir neturėjo įtakos nė vienam jų turtui.
„Mes sekėme pasidalinome daugiau informacijos apie savo išvadas su„ Coinbase “, kurioje teigiama, kad išpuolis nesėkmingai padarė bet kokią žalą„ AgentKit “projektui ar bet kokiam kitam„ Coinbase “turtui“, – praneša „Palo Alto“ 42 skyrius.
42 skyrius ir „Wiz“ ataskaitos patvirtina, kad iš pradžių kampanija buvo sutelkta į „Coinbase“ ir išplėsta visiems projektams, naudojant TJ veiksmus/pasikeitusius failus, kai jų pradinis bandymas nepavyko.
Nors 23 000 projektų panaudojo pasikeitusių failų veiksmus, pažeidimas galiausiai paveikė tik 218 saugyklas.
„Bleepingcomputer“ taip pat susisiekė su „Coinbase“ dėl įvykio, tačiau negavo atsakymo į mūsų klausimus.
Remdamiesi 14 m kenkėjiškų veiksmų analize, atraskite 10 geriausių „MitRAT ATT & CK“ metodų, esančių už 93% išpuolių ir kaip ginti nuo jų.