Исследователи из Palo Alto Networks заявили, что хакеры, вероятно, планировали использовать проект компании с открытым исходным кодом для дополнительных атак.
< /p> Актер угрозы в атаке цепочки поставок на действие GitHub, первоначально нацеленная на Coinbase, по словам исследователей. Предоставлено Coinbase
Dive Brief:
- Актеры угроз в атаке цепочки поставок GitHub были нацелены на Coinbase в рамках их первоначальной волны, согласно отчету от подразделения 42 сети Пало -Альто. Исследователи из Wiz подтвердили, что Coinbase был первоначальной целью в обновленном сообщении в блоге.
- Атака была разработана для использования общественной непрерывной интеграции/непрерывного потока доставки одного из проектов с открытым исходным кодом Crypto Exchange, называемых AgentKit. Исследователи сказали, что злоумышленники, вероятно, хотели использовать проект для дополнительных компромиссов, но они не смогли получить доступ к секретам Coinbase или опубликовать какие -либо пакеты.
- Исследователи PAN говорят, что атакующий затем провел несколько дней, работая над более крупными атаками, в конечном итоге ставя под угрозу версии TJ-Actions/Измененные файлы. Более 23 000 репозиториев были подвергнуты риску из -за большей последовательности атаки; Тем не менее, исследователи подразделения 42 предупреждают, что потенциальный риск может достичь выше, до десятков тысяч.
Dive Insight:
Как сообщалось ранее, злоумышленники уже начали атаки против TJ-Actions/Измененные файлы, а также обзор-Dog/Action-Setup/V1. Соответствующие компромиссы отслеживаются как CVE-2025-30066 и CVE-2025-30154.
Атака на TJ-действия/Измененные файлы, обнаруженная 14 марта, включала инъекцию вредоносного кода через компромисс тона личного доступа. В результате злонамеренный сценарий на питоне начал протекать секреты.
Endor Labs ранее говорили, что около 218 репозиториев просочились секреты, связанные с TJ-действиями/Атакой Files Files.
Атака на обзор-Dog/Action-Setup/V1 была намного меньше, по словам исследователей в Wiz.
Тем не менее, исследователи из блока 42 обнаружили, что пользователь по имени ILRMKCU86TJWP8 разделил репозиторий SpessiveDog/Action Setup, а затем исчез из поля зрения.
«После того, как Coinbase обнаружила и смягчила эту проблему с их конца, злоумышленник решил выполнить широко распространенную атаку, затронув все версии TAG TJ-действия/смены.»,-сказал по электронной почте Омер Гил, старший менеджер по исследованиям в Palo Alto.
Этот пользователь, по -видимому, выдвинул 13 коммитов, которые содержали различные полезные нагрузки, по словам исследователей подразделения 42. Пользователь также разделил репозиторий The ReviewDog/Typos и выдвинул еще 15 коммитов. Согласно отзывчику, атакующий в конечном итоге в конечном итоге, атакующий в конечном итоге получил токен, а затем внесен дополнительные изменения в копию.
Исследователи 42 связались с сопровождающим Coinbase, который подтвердил, что удалил рабочий процесс, а также поделились своими выводами с Coinbase.
Представитель Coinbase не был немедленно доступен для комментариев.
