깃허브 액션 공급망 공격의 코인베이스 주요 표적

사이버 보안 전문가들은코인베이스 를 GitHub Action 공급망 공격의 주요 표적으로 삼았습니다.

초기 보고에 따르면 공격자는 코인베이스의 오픈 소스 프로젝트인 에이전트키트를 먼저 손상시키려고 시도한 것으로 나타났습니다.

실패한 후, 공격자들은 범위를 넓혀 여러 리포지토리에 침투하기 위해 GitHub Actions를 악용했습니다.

분석가들은 공격자가 코인베이스의 생태계를 침해하여 암호화폐 자산을 훔치려 했으나 거래소의 신속한 탐지와 대응으로 좌절되었다고 말합니다.

사이버 보안 회사 Wiz에 따르면 공격과 관련된 GitHub 신원을 분석한 결과, 가해자는 유럽이나 아프리카에서 활동하는 암호화폐 커뮤니티의 활동적인 회원일 가능성이 높습니다.

코인베이스는 이 사건에 대해 공개적으로 언급하지 않았지만, 전문가들은 이 거래소가 보안 침해가 완화되었음을 확인했다고 보고합니다.

추가 조사를 통해 악의적인 공격자가 'tj-actions/changed-files' 워크플로우에 코드를 삽입한 것으로 밝혀졌습니다, 영향을 받는 리포지토리에서 민감한 데이터를 추출하려고 시도합니다.

코인베이스가 공격자를 방어한 방법

미국 최대 암호화폐 거래소인 코인베이스는 오픈소스 인프라를 겨냥한 공급망 공격을 성공적으로 막아냈습니다.

사이버 보안 업체 유닛 42에 따르면, 공격자는 코인베이스가 관리하는 블록체인 기반 오픈소스 툴킷인 에이전트킷(AgentKit)을 표적으로 삼았다고 합니다.AI 에이전트.

공격자는 지속적 통합 파이프라인을 악용하도록 설계된 악성 코드를 GitHub의 에이전트키트 및 온체인키트 리포지토리에 포크하여 삽입했습니다.

이 침해 시도는 2025년 3월 14일에 처음 감지되었습니다.

공격자는 GitHub의 '모든 권한 쓰기' 권한을 활용하여 프로젝트의 자동화된 워크플로에 유해한 코드를 삽입하여 민감한 데이터를 노출하고 추가 침해를 일으킬 수 있었습니다.

42번 유닛이 민감한 정보를 수집한 페이로드는 확인되었지만 원격 코드 실행이나 리버스 셸 공격과 같은 고급 익스플로잇은 포함되지 않았습니다.

코인베이스는 보안 전문가와 협력하여 위협을 격리하고 완화 조치를 구현하는 등 신속하게 대응했습니다.

이러한 신속한 개입으로 더 깊은 침입을 막고 추가적인 위험으로부터 거래소 인프라를 보호할 수 있었습니다.

더 넓은 타깃으로 초점을 이동하는 악성 행위자

코인베이스가 표적 공격을 성공적으로 저지한 후, 위협 행위자는 더 광범위한 공급망 공격으로 초점을 옮겨 이번에는 깃허브 액티비티를 표적으로 삼았습니다.

엔도랩은 218개의 GitHub 리포지토리에서 다음을 확인했습니다. 가 손상되어 민감한 정보가 노출되었습니다.

그러나 유출된 데이터는 주로 Amazon Web Services, npm, Dockerhub 및 GitHub 액세스 토큰과 같은 플랫폼의 자격 증명으로 구성되었습니다.

다행히도 워크플로우가 완료된 후 노출된 GitHub 토큰 중 상당수가 만료되었기 때문에 처음 우려했던 것보다 영향이 덜 심각했습니다.

엔도르 랩의 연구원 헨릭 플레이트는 이렇게 말합니다:

"수만 개의 리포지토리가 깃허브 액션에 의존하고 있다는 점을 고려하면 초기 공급망 공격의 규모는 무서울 정도였습니다."

현재 보안 전문가들이 공격의 동기를 조사하고 있습니다.

일부에서는 주요 목적이 암호화폐 자산을 훔치기 위한 것이라고 의심하지만코인베이스, 사건의 신속한 해결로 인해 공격자는 방향을 선회했을 가능성이 높습니다.

그들은 코인베이스에 대한 집중적인 공격을 계속하는 대신, 이 대규모 공급망 공격을 통해 광범위한 프로젝트를 손상시키려는 노력을 확대했습니다.

암호화폐 프로젝트를 노리는 보안 위협이 계속되고 있습니다.

코인베이스에 대한 공격 실패는 암호화폐 프로젝트를 노리는 지속적인 위협을 강조합니다.

슬로우미스트의 설립자 유 지안은 2025년 2월에 발생한 15억 달러 규모의 바이비트 해킹 사건을 언급하며, 이 사건이 성공했다면 코인베이스가 다음 대형 보안 사고가 될 수도 있었다고 지적하며 이번 유출의 잠재적 심각성을 강조했습니다.

또한 Jian은 tj-actions 또는 reviewdog와 같은 도구를 사용하는 기업에게 철저한 감사를 수행하여 비밀을 안전하게 유지하도록 조언했습니다.

과거에도 이와 같은 공급망 공격으로 인해 상당한 손실이 발생했습니다.

2024년, 로티 플레이어 npm 패키지의 업데이트를 노린 익스플로잇으로 인해 사용자가 10 BTC(72만 5천 달러 상당)를 잃었습니다.

마찬가지로, 자산 재조정을 위한 플랫폼인 ZOTH가 800만 달러 이상의 손실을 입는 등 보안 취약성이 웹3.0 공간을 계속 괴롭히고 있습니다.악의적 행위자 관리자 권한을 획득하고 로직 컨트랙트를 수정했습니다.

이는 암호화폐 생태계 내에서 지속적인 위험이 존재한다는 것을 강조합니다.