在朝鲜黑客组织Lazarus Group从Bybit交易所窃取15亿美元之后,安全研究人员又确定,大型加密货币交易所 Coinbase 是最近 GitHub Actions 级联供应链攻击的主要目标,该攻击泄露了数百个存储库中的机密。
根据Palo Alto Unit 42和Wiz的最新报告,此次攻击经过精心策划,始于恶意代码被注入reviewdog/action-setup@v1GitHub Action。目前尚不清楚此次入侵是如何发生的,但威胁者修改了该操作,将 CI/CD 机密和身份验证令牌转储到 GitHub Actions 日志中。
此次入侵的第一阶段涉及对 reviewdog/action-setup@v1 GitHub Action 的入侵。目前尚不清楚此次入侵是如何发生的,但当相关的 GitHub Action tj-actions/eslint-changed-files调用 reviewdog 操作时,导致其机密被转储到工作流日志中。
这使得威胁行为者能够窃取个人访问令牌,然后使用该令牌将恶意提交推送到 tj-actions/changed-filesGitHub Action,该操作再次将 CI/CD 机密转储到工作流日志中。
然而,这次初始提交专门针对 Coinbase 的项目和另一个名为“mmvojwip”的用户(属于攻击者的帐户)。
超过 20,000 个其他项目使用了更改文件操作,其中包括 Coinbase 的 coinbase/agent kit,这是一个允许 AI 代理与区块链交互的流行框架。
据 Unit 42 称,Coinbase 的 agentkit 工作流执行了更改文件的操作,允许威胁行为者窃取授予他们对存储库的写访问权限的令牌。
Palo Alto Unit 42 解释说:“攻击者于 2025 年 3 月 14 日 15:10 UTC 获得了具有对 coinbase/agentkit 存储库写入权限的 GitHub 令牌,这距离针对 tj-actions/changed-files 发起更大规模攻击不到两个小时。”
不过,Coinbase 随后向 Unit 42 表示,这次攻击没有成功,没有影响他们的任何资产。
Palo Alto Unit 42 报道称:“我们随后与 Coinbase 分享了更多调查结果的细节,Coinbase 表示,此次攻击未能对 agentkit 项目或任何其他 Coinbase 资产造成任何损害。”
Unit 42 和 Wiz 的报告证实,该活动最初高度集中在 Coinbase 上,在初次尝试失败后扩展到所有利用 tj-actions/changed-files 的项目。
虽然有 23,000 个项目使用了更改文件操作,但最终只有 218 个存储库受到了漏洞的影响。