CoinbaseがGitHubアクション・サプライチェーン攻撃の主要ターゲットに
サイバーセキュリティの専門家は次のように指摘する。コインベース GitHubアクションのサプライチェーン攻撃の主な標的として。
最初の報告によると、攻撃者はまずCoinbaseのオープンソースプロジェクトであるAgentKitの侵害を試みた。
失敗した後、彼らは範囲を広げ、GitHub Actionsを悪用して複数のリポジトリに侵入した。
アナリストによると、攻撃者は暗号資産を盗むためにCoinbaseのエコシステムに侵入することを狙ったが、取引所の迅速な検出と対応によって阻止されたという。
サイバーセキュリティ企業Wizによると この攻撃にリンクされたGitHubのIDを分析したところ、犯人は暗号コミュニティの活動的なメンバーで、ヨーロッパかアフリカで活動している可能性が高い。
Coinbaseはこの件について公式には言及していないが、専門家によれば、同取引所は侵害が緩和されたことを確認したという。
さらに調査を進めると、悪意のある行為者が「tj-actions/changed-files」ワークフローにコードを注入していることが判明した、 影響を受けたリポジトリから機密データを抽出しようとしている。
コインベースはどのようにして攻撃者を撃退したか
米国最大の暗号取引所であるコインベースは、オープンソースのインフラを狙ったサプライチェーン攻撃の阻止に成功した。
サイバーセキュリティ企業のUnit 42によると、攻撃者はCoinbaseが管理するブロックチェーンベースのオープンソースツールキットであるAgentKitを標的にしていた。AIエージェント。
GitHub上のAgentKitとOnchainKitのリポジトリをフォークすることで、攻撃者は継続的インテグレーションパイプラインを悪用するように設計された悪意のあるコードを注入しました。
侵入の試みは2025年3月14日に初めて検知された。
攻撃者はGitHubの "write-all "パーミッションを活用し、プロジェクトの自動ワークフローに有害なコードを挿入した。
Unit42は、ペイロードが機密情報を収集することを確認したが、リモートコード実行やリバースシェル攻撃などの高度なエクスプロイトは含まれていなかった。
コインベースは迅速に対応し、セキュリティの専門家と協力して脅威を隔離し、緩和策を実施した。
この迅速な介入により、より深い侵入を防ぎ、取引所のインフラをさらなるリスクから守ることができた。
悪意ある行為者はより広いターゲットに焦点を移す
Coinbaseが標的型攻撃の阻止に成功した後、脅威者はより広範なサプライチェーンへの攻撃に焦点を移し、今度はGitHub Actionsを標的とした。
Endor Labsは、218のGitHubリポジトリを確認した。 が漏洩し、機密情報が暴露された。
しかし、流出したデータは主にAmazon Web Services、npm、Dockerhub、GitHubのアクセストークンなどのプラットフォームの認証情報で構成されていた。
幸いなことに、公開されたGitHubトークンの多くはワークフローが完了した時点で失効したため、影響は当初懸念されたほど深刻ではなかった。
Endor Labsの研究者ヘンリック・プレートは言う:
"何万ものリポジトリがGitHub Actionに依存していることを考えると、サプライチェーン攻撃の最初の規模は恐ろしく聞こえる。"
セキュリティ専門家は現在、攻撃の動機を調査している。
暗号資産を盗み出すことが主な目的だったのではという見方もあるがコインベース 事件の迅速な解決によって、攻撃者はピボットを余儀なくされたようだ。
Coinbaseへの集中的な攻撃を続けるのではなく、彼らはこの大規模なサプライチェーン攻撃を通じて、幅広いプロジェクトを危険にさらすために努力を拡大した。
暗号プロジェクトを狙うセキュリティの脅威が続く
Coinbaseへの攻撃の失敗は、暗号プロジェクトを標的とした持続的な脅威を強調している。
SlowMistの創設者であるYu Jian氏は、コインベースが2025年2月に15億ドルのハッキングを受けたことを引き合いに出し、もしコインベースがハッキングに成功していれば、次の大きなセキュリティ・インシデントになっていた可能性があると指摘した。
ジアンはまた、tj-actionsやreviewdogのようなツールを使っている企業には、秘密の安全性を確保するために徹底的な監査を行うようアドバイスした。
今回のようなサプライチェーン攻撃は、過去に大きな損失をもたらした。
2024年、Lottie Player npmパッケージのアップデートを狙ったエクスプロイトにより、ユーザーは10BTC(725,000ドル相当)を失った。
同様に、Web3の分野でもセキュリティの脆弱性に悩まされ続けている。悪質業者 管理者権限を獲得し、ロジック契約を変更した。
このことは、暗号エコシステムにおける継続的なリスクを浮き彫りにしている。