Coinbase成为近期GitHub Actions供应链攻击的主要目标

2025-03-22 29 0

Coinbase成为近期GitHub Actions供应链攻击的主要目标插图

研究人员发现,Coinbase是近期GitHub Actions供应链攻击的主要目标,该攻击导致数百个代码库中的机密信息泄露。

攻击过程分析

根据Palo Alto Unit 42和Wiz的最新报告,此次攻击经过精心策划,始于恶意代码被注入到reviewdog/action-setup@v1 GitHub Action中。虽然尚不清楚漏洞是如何发生的,但攻击者修改了该操作,将CI/CD机密信息和认证令牌转储到GitHub Actions日志中。

此前报道称,攻击的第一阶段涉及reviewdog/action-setup@v1 GitHub Action的泄露。当另一个相关的GitHub Action tj-actions/eslint-changed-files调用reviewdog操作时,导致其机密信息被转储到工作流日志中。

这使得攻击者能够窃取一个个人访问令牌,随后利用该令牌向tj-actions/changed-files GitHub Action推送了一个恶意提交,再次将CI/CD机密信息转储到工作流日志中。

然而,这个初始提交专门针对Coinbase和另一个名为“mmvojwip”的用户项目,后者属于攻击者的账户。

Coinbase成为近期GitHub Actions供应链攻击的主要目标插图1专门针对Coinbase项目的恶意提交 来源:Palo Alto Unit 42

Coinbase成为主要目标

changed-files操作被超过20,000个项目使用,其中包括Coinbase的coinbase/agent kit,这是一个允许AI代理与区块链交互的流行框架。

根据Unit 42的说法,Coinbase的agentkit工作流执行了changed-files操作,使得攻击者能够窃取具有对该代码库写权限的令牌。

“攻击者于2025年3月14日15:10 UTC获得了一个对coinbase/agentkit代码库具有写权限的GitHub令牌,不到两小时后,针对tj-actions/changed-files的更大规模攻击开始,”Palo Alto Unit 42解释道。

然而,Coinbase后来告诉Unit 42,此次攻击并未成功,也未对其资产造成任何影响。

“我们随后与Coinbase分享了更多调查细节,Coinbase表示此次攻击未能对agentkit项目或任何其他Coinbase资产造成损害,”Palo Alto Unit 42报告称。

Unit 42和Wiz的报告证实,此次攻击最初高度集中于Coinbase,在初次尝试失败后,扩展到了所有使用tj-actions/changed-files的项目。

尽管有23,000个项目使用了changed-files操作,但最终只有218个代码库受到此次泄露的影响。

BleepingComputer也就此事件联系了Coinbase,但尚未收到回复。

Coinbase成为近期GitHub Actions供应链攻击的主要目标插图2

93%攻击背后的十大MITRE ATT&CK技术

基于对1400万次恶意操作的分析,了解93%攻击背后的十大MITRE ATT&CK技术以及如何防御它们。

阅读Red Report 2025

参考来源:

Coinbase was primary target of recent GitHub Actions breaches


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

新型SectopRAT木马利用Cloudflare验证系统攻击Windows用户
医疗行业网络安全现状令人担忧
2025年全球网络安全支出预计增长12.2%
九个存在九年的npm软件包遭劫持 通过混淆脚本窃取API密钥
新型安卓恶意软件利用 .NET MAUI 框架逃避检测
新型VanHelsing勒索软件瞄准Windows、ARM和ESXi系统

发布评论