Breve immersione:
Gli autori della minaccia nell’attacco alla supply chain di GitHub Action avevano come obiettivo Coinbase come parte della loro ondata iniziale, secondo un rapporto di Palo Alto Networks Unit 42. I ricercatori di Wiz hanno confermato che Coinbase era l’obiettivo originale in un post di blog aggiornato.
L’attacco è stato progettato per sfruttare il flusso pubblico di integrazione continua/consegna continua di uno dei progetti open source dell’exchange di criptovalute, denominato agentkit. I ricercatori hanno affermato che gli aggressori probabilmente volevano sfruttare il progetto per ulteriori compromessi, ma non sono stati in grado di accedere ai segreti di Coinbase o di pubblicare alcuno dei pacchetti.
I ricercatori PAN affermano che l’attaccante ha poi trascorso diversi giorni lavorando sugli attacchi più grandi, compromettendo alla fine le versioni dei file tj-actions/changed. Più di 23.000 repository sono stati messi a rischio dalla sequenza di attacchi più grande; tuttavia, i ricercatori di Unit 42 avvertono che il rischio potenziale potrebbe essere più alto, nell’ordine delle decine di migliaia.
Approfondimento:
Come precedentemente segnalato, gli aggressori avevano già lanciato attacchi contro tj-actions/changed files e review-dog/action-setup/v1. I rispettivi compromessi sono tracciati come CVE-2025-30066 e CVE-2025-30154 .
L’attacco contro i file tj-actions/changed, scoperto il 14 marzo, ha comportato l’iniezione di codice dannoso tramite la compromissione di un token di accesso personale. Di conseguenza, uno script Python dannoso ha iniziato a far trapelare segreti.
Endor Labs ha dichiarato in precedenza che circa 218 repository hanno divulgato segreti relativi all’attacco tj-actions/changed files.
Secondo i ricercatori di Wiz, l’attacco a review-dog/action-setup/v1 è stato molto più piccolo.
Tuttavia, i ricercatori dell’Unità 42 hanno scoperto che un utente di nome iLrmKCu86tjwp8 aveva creato un fork del repository reviewdog/action-setup e poi era scomparso.
“Dopo che Coinbase ha rilevato e mitigato il problema, l’aggressore ha deciso di eseguire l’attacco su larga scala interessando tutte le versioni dei tag tj-action/changed-files”, ha affermato via e-mail Omer Gil, senior research manager presso Palo Alto Networks.
Secondo i ricercatori di Unit 42, quell’utente aveva apparentemente spinto 13 commit contenenti vari payload. L’utente ha anche forkato il repository reviewdog/action-typos e spinto altri 15 commit. Il fork comporta la copia del codice sorgente originale e quindi l’esecuzione di ulteriori modifiche alla copia.
Secondo i ricercatori di Unit 42, il 14 marzo, poche ore prima dell’attacco tj-actions/changed files, l’aggressore è riuscito a ottenere un token GitHub con permessi di scrittura sul repository coinbase/agentkit.
I ricercatori dell’Unità 42 hanno contattato il responsabile di Coinbase, il quale ha confermato di aver rimosso il flusso di lavoro e ha condiviso le proprie scoperte con Coinbase.
Un portavoce di Coinbase non era immediatamente disponibile per rilasciare dichiarazioni.
Nessun commento:
Posta un commento