Esperti di sicurezza affermano che Coinbase, borsa quotata in borsa, è stato l'obiettivo principale dell'attacco alla catena di fornitura di GitHub Action. Secondo le società di sicurezza informatica che hanno analizzato l’incidente, l’aggressore ha inizialmente tentato di compromettere l’agentkit del progetto open source Coinbase.
È stato solo dopo aver fallito in questo intento che hanno deciso di attaccare l’azione GitHub e prendere di mira diversi repository. Secondo i rapporti, l'aggressore si stava probabilmente concentrando sul progetto Coinbase in modo da poterlo utilizzare per accedere all'ecosistema dell'exchange e rubare risorse crittografiche.
Tuttavia, non sono riusciti a raggiungere il loro obiettivo poiché anche Coinbase ha rilevato l’attacco in tempo e ne ha mitigato l’impatto. Secondo la società di sicurezza informatica Wiz, l'analisi delle identità GitHub utilizzate nell'attacco mostra che l'aggressore è attivo nella comunità crittografica e probabilmente opera dall'Europa o dall'Africa.
Sebbene Coinbase non abbia commentato pubblicamente l'incidente, gli esperti sostengono che l'exchange abbia confermato di aver risolto il problema. L'analisi degli esperti ha mostrato che gli autori malintenzionati hanno inserito codice in "tj-actions/changed-files" per far trapelare dati sensibili dai repository che eseguono il flusso di lavoro.
Dopo che Coinbase ha fermato l'attacco mirato, sembrava che il cattivo attore avesse deciso di prendere di mira la popolare GitHub Action con un attacco alla catena di approvvigionamento. Endor Labs ha scoperto che l'attacco ha compromesso 218 repository GitHub, costringendoli a rivelare i loro segreti.
Tuttavia, la maggior parte delle informazioni trapelate riguardavano le credenziali per i token di installazione di accesso di Amazon Web Services, npm, Dockerhub e GitHub. Ciò significa che l’impatto è stato inferiore a quanto temuto in precedenza poiché la maggior parte dei segreti trapelati erano token GitHub scaduti dopo il completamento dell’esecuzione del flusso di lavoro.
Henrik Plate, ricercatore degli Endor Labs, ha dichiarato:
"La portata iniziale dell'attacco alla supply chain sembrava spaventosa, considerando che decine di migliaia di repository dipendono dalla GitHub Action."
Nel frattempo gli esperti di sicurezza stanno esaminando anche il movente dell'attacco. Molti credono che l’obiettivo fosse probabilmente quello di rubare risorse crittografiche da Coinbase. Tuttavia, il fatto che Coinbase abbia posto rimedio all'incidente in tempo potrebbe aver portato l'aggressore a cambiare il proprio approccio da un attacco mirato allo stealth a un attacco su larga scala in modo da poter compromettere molti progetti.
I progetti crittografici rimangono minacciati
Nel frattempo, l’attacco fallito evidenzia le continue minacce contro i progetti crittografici. Il fondatore di SlowMist Yu Jian, che ha condiviso l'incidente su X, ha affermato che se l'attacco fosse avvenuto, Coinbase sarebbe diventato il prossimo importante incidente di sicurezza segnalato.
La sua dichiarazione fa riferimento al recente attacco informatico da 1,5 miliardi di dollari dell'exchange ByBit nel febbraio 2025. Jian ha aggiunto che le aziende che utilizzano tj-action o reviewdog devono condurre un autoesame per garantire che i loro segreti non siano trapelati.
È interessante notare che attacchi alla catena di approvvigionamento come questo hanno già portato a perdite ingenti in passato. Nel 2024, un utente ha perso 10 BTC per un valore di 725.000 dollari a causa di un attacco che sfruttava gli aggiornamenti del pacchetto Lottie Player npm, una libreria di animazione in Java-script utilizzata da diverse applicazioni decentralizzate.
Oltre a ciò, gli exploit di sicurezza in diverse forme rimangono comuni nello spazio Web3. Pochi giorni fa, riacquistando risorse per risorse del mondo reale, ZOTH ha perso oltre 8 milioni di dollari a causa della modifica del suo contratto logico con codice dannoso dopo che il malintenzionato ha ottenuto i privilegi di amministratore.
Cryptopolitan Academy: stanco delle oscillazioni del mercato? Scopri come la DeFi può aiutarti a creare un reddito passivo costante. Registrati ora