研究人员发现,Coinbase是近期GitHub Actions供应链攻击的主要目标,该攻击导致数百个代码库中的机密信息泄露。
攻击过程分析
根据Palo Alto Unit 42和Wiz的最新报告,此次攻击经过精心策划,始于恶意代码被注入到reviewdog/action-setup@v1
GitHub Action中。虽然尚不清楚漏洞是如何发生的,但攻击者修改了该操作,将CI/CD机密信息和认证令牌转储到GitHub Actions日志中。
此前报道称,攻击的第一阶段涉及reviewdog/action-setup@v1
GitHub Action的泄露。当另一个相关的GitHub Action tj-actions/eslint-changed-files
调用reviewdog操作时,导致其机密信息被转储到工作流日志中。
这使得攻击者能够窃取一个个人访问令牌,随后利用该令牌向tj-actions/changed-files
GitHub Action推送了一个恶意提交,再次将CI/CD机密信息转储到工作流日志中。
然而,这个初始提交专门针对Coinbase和另一个名为“mmvojwip”的用户项目,后者属于攻击者的账户。
专门针对Coinbase项目的恶意提交 来源:Palo Alto Unit 42
Coinbase成为主要目标
changed-files
操作被超过20,000个项目使用,其中包括Coinbase的coinbase/agent kit
,这是一个允许AI代理与区块链交互的流行框架。
根据Unit 42的说法,Coinbase的agentkit工作流执行了changed-files
操作,使得攻击者能够窃取具有对该代码库写权限的令牌。
“攻击者于2025年3月14日15:10 UTC获得了一个对coinbase/agentkit
代码库具有写权限的GitHub令牌,不到两小时后,针对tj-actions/changed-files
的更大规模攻击开始,”Palo Alto Unit 42解释道。
然而,Coinbase后来告诉Unit 42,此次攻击并未成功,也未对其资产造成任何影响。
“我们随后与Coinbase分享了更多调查细节,Coinbase表示此次攻击未能对agentkit项目或任何其他Coinbase资产造成损害,”Palo Alto Unit 42报告称。
Unit 42和Wiz的报告证实,此次攻击最初高度集中于Coinbase,在初次尝试失败后,扩展到了所有使用tj-actions/changed-files
的项目。
尽管有23,000个项目使用了changed-files
操作,但最终只有218个代码库受到此次泄露的影响。
BleepingComputer也就此事件联系了Coinbase,但尚未收到回复。
93%攻击背后的十大MITRE ATT&CK技术
基于对1400万次恶意操作的分析,了解93%攻击背后的十大MITRE ATT&CK技术以及如何防御它们。
阅读Red Report 2025
参考来源:
Coinbase was primary target of recent GitHub Actions breaches
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)