Les chercheurs ont déterminé que Coinbase était la cible principale d’une récente attaque de la chaîne d’approvisionnement en cascade d’actions GitHub qui a compromis des secrets dans des centaines de référentiels.
Selon de nouveaux rapports de l’unité 42 de Palo Alto et de Wiz, l’attaque a été soigneusement planifiée et a commencé lorsque du code malveillant a été injecté dans l’action reviewdog / action-setup@v1 GitHub. On ignore comment la violation s’est produite, mais les auteurs de la menace ont modifié l’action pour vider les secrets CI/CD et les jetons d’authentification dans les journaux d’actions GitHub.
Comme indiqué précédemment, la première étape de la violation impliquait la compromission de l’action reviewdog/action-setup @ v1 GitHub. On ne sait pas comment la violation s’est produite, mais lorsqu’une action GitHub associée, tj-actions/eslint-changed-files, a invoqué l’action reviewdog, provoquant le vidage de ses secrets dans les journaux de flux de travail.
Cela a permis aux acteurs de la menace de voler un jeton d’accès personnel qui a ensuite été utilisé pour pousser un commit malveillant vers l’action GitHub tj-actions/changed-files qui décharge à nouveau les secrets CI/CD dans les journaux de workflow.
Cependant, ce commit initial ciblait spécifiquement des projets pour Coinbase et un autre utilisateur nommé « mmvojwip », un compte appartenant à l’attaquant.
L’action fichiers modifiés a été utilisée par plus de 20 000 autres projets, y compris le kit coinbase/agent de Coinbase, un cadre populaire permettant aux agents d’IA d’interagir avec les blockchains.
Selon l’unité 42, le flux de travail agentkit de Coinbase a exécuté les actions des fichiers modifiés, permettant aux acteurs de la menace de voler des jetons qui leur donnaient un accès en écriture au référentiel.
« L’attaquant a obtenu un jeton GitHub avec des autorisations d’écriture sur le référentiel coinbase/agentkit le 14 mars 2025, 15h10 UTC, moins de deux heures avant le lancement de l’attaque plus importante contre les fichiers tj-actions/modifiés », a expliqué l’unité 42 de Palo Alto.
Cependant, Coinbase a déclaré plus tard à l’Unité 42 que l’attaque avait échoué et n’avait eu aucun impact sur leurs actifs.
« Nous avons suivi en partageant plus de détails sur nos conclusions avec Coinbase, qui a déclaré que l’attaque n’avait pas réussi à causer de dommages au projet agentkit, ou à tout autre actif Coinbase », rapporte l’unité 42 de Palo Alto.
Les rapports de l’unité 42 et de Wiz confirment que la campagne était initialement fortement axée sur Coinbase et étendue à tous les projets utilisant des fichiers tj-actions / modifiés une fois que leur tentative initiale a échoué.
Alors que 23 000 projets ont utilisé l’action Fichiers modifiés, seuls 218 référentiels ont finalement été touchés par la violation.
Breachtrace a également contacté Coinbase à propos de l’incident mais n’a pas reçu de réponse à nos questions.