- 19,426
- 40
- 8 Ноя 2022
Всего за 20 минут злоумышленники превратили точечный удар в масштабное заражение.
Совсем недавно Для просмотра ссылки Войдиили Зарегистрируйся о компрометации популярного инструмента «tj-actions/changed-files» в GitHub Actions, использовавшегося во множестве CI/CD-процессов. Уязвимость Для просмотра ссылки Войди или Зарегистрируйся с оценкой 8.6 по шкале CVSS допускала утечку секретов из репозиториев, где выполнялся заражённый код.
На первый взгляд всё это выглядело как масштабная атака на цепочку поставок с неясным вектором и мотивацией. Однако теперь выяснилось, что исходной целью атаки был вовсе не случайный набор репозиториев, а конкретный проект с открытым кодом, принадлежащий криптовалютной платформе Coinbase.
Исследователи из Unit 42 Для просмотра ссылки Войдиили Зарегистрируйся , что вредоносный код изначально был встроен в CI/CD-пайплайн проекта agentkit, предположительно с целью дальнейшего распространения или компрометации. Это было точечное и технически сложное проникновение, рассчитанное на то, чтобы незаметно использовать инфраструктуру Coinbase.
Злоумышленник действовал через цепочку зависимостей: изначально была заражена GitHub Action «reviewdog/action-setup» (CVE-2025-30154), на которую опирается «tj-actions/eslint-changed-files», а уже через неё — само действие «tj-actions/changed-files». Таким способом атакующий получил персональный токен доступа (PAT), позволяющий вносить изменения в Action-репозиторий и распространять вредоносную версию дальше. Таким образом была создана скрытая цепочка заражения, при которой каждое обновление зависимости могло привести к утечке данных.
Кульминацией стало то, что заражённый код начал попадать в десятки других репозиториев, использующих «tj-actions/changed-files». Всего, по подсчётам Endor Labs, секреты утекли из 218 репозиториев. В числе утекших данных — учётные записи от AWS, DockerHub, npm и токены доступа GitHub.
Хотя фактическое число пострадавших Для просмотра ссылки Войдиили Зарегистрируйся , инцидент вызвал серьёзное беспокойство из-за потенциального масштаба угрозы: десятки тысяч проектов используют заражённое действие в своей автоматизации.
Важно, что на каждом этапе атаки применялись разные полезные нагрузки. Если в массовом заражении код просто выводил содержимое переменных окружения в логи, то в случае с Coinbase он был более избирательным — выполнялся только в репозиториях, принадлежащих конкретной организации, и извлекал лишь определённые токены. Это говорит о высокой технической подготовке злоумышленника и его понимании специфики CI/CD-инфраструктур.
Следы ведут к анонимным аккаунтам на GitHub, в том числе «iLrmKCu86tjwp8», которые создавали форки проектов Coinbase, вносили скрытые изменения в файлы конфигурации и отправляли pull-запросы с заражёнными зависимостями.
Предположительно, использовались так называемые «висячие коммиты» — техника, при которой вредоносные изменения сохраняются в ветке форка, но не сразу видны в основной репозитории. GitHub пока не подтвердил, как именно Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся к организации reviewdog, но отметил, что атака не затронула инфраструктуру самой платформы.
По мнению исследователей, изначальная цель — кража криптовалют или доступ к кошелькам Coinbase. Однако после того, как атака была обнаружена и пресечена, злоумышленник, опасаясь потери доступа, резко расширил масштаб — массовое заражение началось всего через 20 минут после того, как Coinbase устранил Для просмотра ссылки Войдиили Зарегистрируйся в своих проектах.
Криптобиржа сообщила, что по состоянию на 19 марта все последствия атаки были устранены, но инцидент стал тревожным напоминанием о том, насколько уязвимыми могут быть даже хорошо защищённые Open Source проекты, если в цепочке сборки появляется заражённая зависимость.
Совсем недавно Для просмотра ссылки Войди
На первый взгляд всё это выглядело как масштабная атака на цепочку поставок с неясным вектором и мотивацией. Однако теперь выяснилось, что исходной целью атаки был вовсе не случайный набор репозиториев, а конкретный проект с открытым кодом, принадлежащий криптовалютной платформе Coinbase.
Исследователи из Unit 42 Для просмотра ссылки Войди
Злоумышленник действовал через цепочку зависимостей: изначально была заражена GitHub Action «reviewdog/action-setup» (CVE-2025-30154), на которую опирается «tj-actions/eslint-changed-files», а уже через неё — само действие «tj-actions/changed-files». Таким способом атакующий получил персональный токен доступа (PAT), позволяющий вносить изменения в Action-репозиторий и распространять вредоносную версию дальше. Таким образом была создана скрытая цепочка заражения, при которой каждое обновление зависимости могло привести к утечке данных.
Кульминацией стало то, что заражённый код начал попадать в десятки других репозиториев, использующих «tj-actions/changed-files». Всего, по подсчётам Endor Labs, секреты утекли из 218 репозиториев. В числе утекших данных — учётные записи от AWS, DockerHub, npm и токены доступа GitHub.
Хотя фактическое число пострадавших Для просмотра ссылки Войди
Важно, что на каждом этапе атаки применялись разные полезные нагрузки. Если в массовом заражении код просто выводил содержимое переменных окружения в логи, то в случае с Coinbase он был более избирательным — выполнялся только в репозиториях, принадлежащих конкретной организации, и извлекал лишь определённые токены. Это говорит о высокой технической подготовке злоумышленника и его понимании специфики CI/CD-инфраструктур.
Следы ведут к анонимным аккаунтам на GitHub, в том числе «iLrmKCu86tjwp8», которые создавали форки проектов Coinbase, вносили скрытые изменения в файлы конфигурации и отправляли pull-запросы с заражёнными зависимостями.
Предположительно, использовались так называемые «висячие коммиты» — техника, при которой вредоносные изменения сохраняются в ветке форка, но не сразу видны в основной репозитории. GitHub пока не подтвердил, как именно Для просмотра ссылки Войди
По мнению исследователей, изначальная цель — кража криптовалют или доступ к кошелькам Coinbase. Однако после того, как атака была обнаружена и пресечена, злоумышленник, опасаясь потери доступа, резко расширил масштаб — массовое заражение началось всего через 20 минут после того, как Coinbase устранил Для просмотра ссылки Войди
Криптобиржа сообщила, что по состоянию на 19 марта все последствия атаки были устранены, но инцидент стал тревожным напоминанием о том, насколько уязвимыми могут быть даже хорошо защищённые Open Source проекты, если в цепочке сборки появляется заражённая зависимость.
- Источник новости
- www.securitylab.ru
