قرر الباحثون أن Coinbase كان الهدف الأساسي في إجراءات GitHub الأخيرة التي تتجول في هجوم سلسلة التوريد التي تعرضت للخطر أسرار في مئات المستودعات.
وفقا لتقارير جديدة من”https://unit42.paloaltonetworks.com/github-actions-supply-chain-attack/” الهدف=”_blank” rel=”nofollow noopener”> Palo Alto Unit 42 و”https://www.wiz.io/blog/new-github-action-supply-chain-attack-reviewdog-action-setup” الهدف=”_blank” rel=”nofollow noopener”> ويز، تم التخطيط للهجوم بعناية وبدأ عندما تم حقن رمز ضار في reviewdog/action-setup@v1 عمل جيثب. من غير الواضح كيف حدث الانتهاك ، لكن ممثلي التهديد عدلوا الإجراء لتفريغ أسرار CI/CD ورموز المصادقة في سجلات إجراءات GitHub.
مثل”https://www.bleepingcomputer.com/news/security/github-action-hack-likely-led-to-another-in-cascading-supply-chain-attack/” الهدف=”_blank” rel=”nofollow noopener”> ذكرت سابقا، تضمنت المرحلة الأولى من الاختراق حل وسط عمل المراجعة/الإجراء@V1 Github Action. من غير الواضح كيف حدث الانتهاك ، ولكن عندما يكون عمل جيثب ذي صلة ، tj-actions/eslint-changed-files، استدعى إجراء المراجعة ، مما تسبب في إلقاء أسرارها إلى سجلات سير العمل.
هذا سمح للجهات الفاعلة التهديد بسرقة رمز الوصول الشخصي الذي تم استخدامه بعد ذلك لدفع التزام ضار بـtj-actions/changed-files GitHub الإجراء الذي يلف مرة أخرى أسرار CI/CD إلى سجلات سير العمل.
ومع ذلك ، فإن هذا الالتزام الأولي بمشاريع مستهدفة على وجه التحديد لـ Coinbase ومستخدم آخر اسمه “mmvojwip,” حساب يخص المهاجم.
المصدر: Palo Alto Unit 42
تم استخدام إجراءات الملفات التي تم تغييرها من قبل أكثر من 20.000 مشروع آخر ، بما في ذلك Coinbase’scoinbase/agent kit، إطار شائع للسماح لوكيل الذكاء الاصطناعي بالتفاعل مع blockchains.
وفقًا للوحدة 42 ، نفذ سير عمل AgentKit الخاص بـ CoinBase إجراءات الملفات التي تم تغييرها ، مما سمح لممثلي التهديد بسرقة الرموز التي منحتهم كتابة المستودع.
“The attacker obtained a GitHub token with write permissions to the coinbase/agentkit repository on March 14, 2025, 15:10 UTC, less than two hours before the larger attack was initiated against tj-actions/changed-files,” أوضح بالو ألتو وحدة 42.
ومع ذلك ، أخبر Coinbase في وقت لاحق الوحدة 42 أن الهجوم لم ينجح ولم يؤثر على أي من أصولهم.
“We followed up by sharing more details of our findings with Coinbase, which stated that the attack was unsuccessful at causing any damage to the agentkit project, or any other Coinbase asset,” تقارير بالو ألتو وحدة 42.
تؤكد الوحدة 42 وتقارير Wiz أن الحملة كانت في البداية تركز بشكل كبير على قاعدة العملات وتوسيعها إلى جميع المشاريع التي تستخدم تمثيل TJ/ملفات تم تغييرها بمجرد فشل محاولتها الأولية.
في حين استخدم 23000 مشروع عمل تم تغيير الملفات ،”https://www.bleepingcomputer.com/news/security/github-action-supply-chain-attack-exposed-secrets-in-218-repos/” الهدف=”_blank” rel=”nofollow noopener”> فقط 218 مستودع تأثرت في النهاية بالخرق.
اتصل BleepingComputer أيضًا بـ Coinbase حول الحادث لكنه لم يتلق رد على أسئلتنا.