Coinbase

研究者らは、数百のリポジトリの秘密を漏洩させた最近のGitHub Actionsの連鎖的なサプライチェーン攻撃において、Coinbaseが主要な標的であったことを突き止めた。

Palo Alto Unit 42と Wizからの新しい報告によると、この攻撃は慎重に計画され、悪意のあるコードがreviewdog/action-setup@v1GitHub Actionに注入されたことから始まった。どのようにして侵害が発生したのかは不明だが、脅威者はCI/CDシークレットと認証トークンをGitHub Actionsのログにダンプするようにアクションを修正した。

既報の通り、侵害の最初の段階では、reviewdog/action-setup@v1 GitHub Actionが侵害された。どのようにして侵害が発生したのかは不明だが、関連するGitHubアクションである tj-actions/eslint-changed-filesがreviewdogアクションを起動し、そのシークレットがワークフローのログにダンプされた。

これにより、脅威者は個人アクセストークンを盗むことができ、それを使ってtj-actions/changed-filesGitHub Actionに悪意のあるコミットをプッシュし、再びCI/CDの秘密をワークフローログにダンプさせた。

しかし、この最初のコミットは、特にCoinbaseのプロジェクトと、攻撃者のアカウントである “mmvojwip “という別のユーザーを標的にしていた。

Malicious commit specifically targeting Coinbase projects
特に Coinbase プロジェクトを標的とした悪意のあるコミット
ソースはこちら:パロアルトユニット42

この変更されたファイルアクションは、AIエージェントがブロックチェーンとやり取りできるようにするための一般的なフレームワークであるCoinbaseのcoinbase/agent kitを含む、20,000以上の他のプロジェクトで使用されていました。

Unit 42によると、Coinbaseのagentkitワークフローは変更されたファイルのアクションを実行し、脅威行為者はリポジトリへの書き込みアクセス権を与えるトークンを盗むことができた。

「攻撃者はcoinbase/agentkitリポジトリへの書き込み権限を持つGitHubトークンを、tj-actions/changed-filesに対して大規模な攻撃が開始される2時間も前の2025年3月14日15:10 UTCに入手した」とPalo Alto Unit 42は説明している。

しかし、Coinbaseは後にUnit 42に、この攻撃は失敗し、同社の資産には影響がなかったと伝えた。

「Coinbaseは、この攻撃はagentkitプロジェクトやその他のCoinbaseの資産に損害を与えることに成功しなかったと述べている」とPalo Alto Unit 42は報告している。

Unit 42とWizの報告によると、このキャンペーンは当初Coinbaseに非常に集中しており、最初の試みが失敗すると、tj-actions/changed-filesを利用するすべてのプロジェクトに拡大した。

23,000のプロジェクトがchanged-filesアクションを利用していたが、最終的に侵害の影響を受けたのは218のリポジトリのみであった。

また、この件についてCoinbaseに問い合わせたが、回答は得られていない。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%の背後にあるトップ10のMITRE ATT&CKテクニックとその防御方法をご覧ください。