В недавней кибератаке на цепочку поставок GitHub целями злоумышленников стала компания Coinbase и более 23,000 репозиториев. Благодаря оперативной реакции, компания смогла избежать серьёзных последствий.
Начало атаки и первая цель
Первый сигнал об атаке появился 14 марта 2025 года, когда злоумышленник обнаружил уязвимость в инструменте tj-actions/changed-files, который используется в GitHub. Целью стала открытая исходная база данных проекта AgentKit компании Coinbase. Однако, благодаря оперативной реакции, попытка взлома была пресечена.
Попытки атаки и её масштаб
После неудачной попытки взлома, злоумышленник решил сменить тактику, совершив более 20 тестовых атак и нацеливаясь на все версии tj-actions/changed-files. В результате, под угрозу было поставлено более 23,000 репозиториев, хотя эксперты из Unit 42 полагают, что реальные масштабы могут быть больше. Исследователи из компании Wiz предположили, что хакер может быть активным участником криптосообщества, вероятно, из Европы или Африки.
Заключение экспертов и рекомендации
Несмотря на то, что Coinbase удалось избежать серьезных последствий, последствия атаки все же отразились на различных пользователях GitHub. Компания Endor Labs сообщила, что более 218 репозиториев были затронуты, что привело к утечкам ключей доступа к AWS, npm, Dockerhub и GitHub. К счастью, большинство из них быстро истекли, поэтому ущерб оказался минимальным. Юй Цзянь, основатель SlowMist, отметил, что атака могла бы иметь масштабные последствия, подобные взлому ByBit, который произошел в феврале 2025 года.
Инцидент с атакой на Coinbase подчеркивает важность быстрой реакции и регулярного проведения проверок безопасности для защиты проектов, использующих инструменты GitHub.
