Coinbase يستهدف في البداية في إجراءات GitHub Actions Houghter سلسلة التوريد ؛ 218 أسرار CI/الأقراص المضغوطة للمستودعات

بدأ هجوم سلسلة التوريد التي تنطوي على عمل Github “TJ-Actions/change files” كهجوم مستهدف للغاية ضد أحد مشاريع Coinbase مفتوحة المصدر ، قبل أن يتطور إلى شيء أكثر انتشارًا في النطاق.

“لقد ركزت الحمولة الحمولة على استغلال تدفق CI/CD العام لأحد مشاريع المصادر المفتوحة – AgentKit ، وربما بهدف الاستفادة من ذلك لمزيد من التسويات” ، وحدة شبكات بالو ألتو 42 قال في تقرير. “ومع ذلك ، لم يتمكن المهاجم من استخدام أسرار Coinbase أو نشر الحزم.”

ال حادثة ظهر في 14 مارس 2025 ، عندما وجد أن “TJ-Actions/change files” تعرضت للخطر إلى حقن الكود الذي تسرب الأسرار الحساسة من المستودعات التي تدير سير العمل. تم تعيين معرف CVE CVE-2025-30066 (CVSS النتيجة: 8.6).

وفقًا لـ Endor Labs ، يُقدر أن 218 مستودعات من Github قد كشفت أسرارها بسبب هجوم سلسلة التوريد ، وتشمل غالبية المعلومات التي تم تسربها بيانات اعتماد “بضع عشرات” لخدمات Dockerhub و NPM و Amazon Web Services (AWS) ، وكذلك Github تثبيت Access Tokens.

“المقياس الأولي لهجوم سلسلة التوريد بدا مخيفًا ، مع الأخذ في الاعتبار أن عشرات الآلاف من المستودعات تعتمد على عمل جيثب” ، هنريك باحث الأمن قال.

“ومع ذلك ، فإن التنقيب عن مهام سير العمل ، ويظهر أشواطهم وأسرارها التي تم تسريبها أن التأثير الفعلي أصغر مما هو متوقع:” فقط “218 مستودع تسربت الأسرار ، وأن غالبية تلك هي github_tokens قصيرة الأجل ، والتي تنتهي بعد الانتهاء من تشغيل سير العمل.”

منذ ذلك الحين ، ظهر أن علامة V1 لعمل GitHub آخر تسمى “مراجعة الدعوى/العمل” ، والتي “تمثل TJ-Actions/تم تغيير ملفات” تعتمد على الاعتماد على “TJ-Actions/eSlint-changed-files” ، تعتمد أيضًا على حدوثها في الحافظة على حمولة مماثلة. ال خرق “ReviewDog/Action-Setup” يجري تتبعه CVE-2025-30154 (CVSS النتيجة: 8.6).

يقال إن استغلال CVE-2025-30154 قد مكّن ممثل التهديد المجهول من الحصول على رمز الوصول الشخصي (PAT) المرتبط بـ “TJ-Actions/changefiles ،” وبالتالي السماح لهم بتعديل المستودع ودفع الكود الضار ، مما يؤثر على كل مستودع github الذي يعتمد على الفعل.

“عندما تم تنفيذ إجراءات TJ-Actions/ESLINT المتبادلة ، تم تسريب أسرار TJ-Actions/files CI ، مما يسمح للمهاجمين بسرقة بيانات الاعتماد المستخدمة في العداء ، بما في ذلك رمز الوصول الشخصي (PAT) الذي ينتمي إلى TJ-BOT-Actions ، قال Avital.

يُشتبه حاليًا أن المهاجم تمكن من الوصول بطريقة أو بأخرى إلى رمز مع إمكانية الوصول إلى منظمة ReviewDog من أجل إجراء التعديلات المارقة. ومع ذلك ، فإن الطريقة التي قد يكون بها الرمز المميز قد تم الحصول عليها غير معروفة في هذه المرحلة.

علاوة على ذلك ، يقال إن الضارة تلتزم بـ “مراجعة DoveDog/Action-Setug” تم تنفيذها من خلال First Foring the Wording Expository ، وارتكاب تغييرات عليه ، ثم إنشاء أ طلب سحب الشوكة إلى المستودع الأصلي وإدخال الالتزامات التعسفية في نهاية المطاف – سيناريو يسمى الالتزام المتدلي.

“لقد اتخذ المهاجم تدابير مهمة لإخفاء مساراتهم باستخدام تقنيات مختلفة ، مثل الاستفادة من الالتزامات المتدلية ، وإنشاء حسابات مستخدمين مؤقتة متعددة ، والتشويش على أنشطتها في سجلات سير العمل (خاصة في هجوم Coinbase الأولي)” ، قال Gil ، مدير الأبحاث في Palo Alto Networks ، لصحيفة Hacker News. “تشير هذه النتائج إلى أن المهاجم مهارات عالية ولديه فهم عميق لتهديدات أمن CI/CD وتكتيكات الهجوم.”

الوحدة 42 نظرية أن حساب المستخدم وراء طلب سحب الشوكة “ILRMKCU86TJWP8” قد يكون مخفيًا عن الرأي العام بعد أن تحول المهاجم من عنوان بريد إلكتروني مشروع مقدم أثناء التسجيل إلى بريد إلكتروني يمكن التخلص منه (أو مجهول) في انتهاك لسياسة جيثب.

قد يكون هذا قد تسبب في إخفاء جميع التفاعلات والإجراءات التي يقوم بها المستخدم. ومع ذلك ، عندما تم التوصل إليها للتعليق ، لم يؤكد Github أو ينكر هذه الفرضية ، لكنه قال إنه يراجع الموقف بنشاط واتخاذ الإجراءات حسب الضرورة.

وقال متحدث باسم GitHub لصحيفة هاكير نيوز “لا يوجد حاليًا أي دليل يشير إلى وجود حل وسط لجيثب أو أنظمته. إن المشاريع التي تم تسليط الضوء عليها هي مشاريع مفتوحة للمستخدمين.”

“يواصل Github مراجعة واتخاذ إجراءات بشأن تقارير المستخدمين المتعلقة بمحتويات المستودع ، بما في ذلك البرامج الضارة والهجمات الخبيثة الأخرى ، وفقًا لما ذكره سياسات الاستخدام المقبولة لـ Github. يجب على المستخدمين دائمًا مراجعة إجراءات GitHub أو أي حزمة أخرى يستخدمونها في التعليمات البرمجية الخاصة بهم قبل تحديث الإصدارات الجديدة. لا يزال هذا صحيحًا هنا كما هو الحال في جميع الحالات الأخرى لاستخدام رمز الطرف الثالث. “

أدى البحث الأعمق عن شوكات github من TJ-Actions/change files إلى اكتشاف حسابين آخرين “2ft2dko28uaztz” و “mmvojwip” ، وكلاهما تم حذفهما منذ ذلك الحين من المنصة. تم العثور على كلا الحسابين أيضًا لإنشاء شوكات من مستودعات Coinbase ذات الصلة مثل Onchainkit و AgentKit و X402.

إضافي فحص لديه كشفت أن الحسابات عدلت ملف “changelog.yml” في مستودع AgentKit باستخدام طلب سحب الشوكة للإشارة إلى إصدار ضار من “TJ-Actions/change-files” المنشورة سابقًا باستخدام PAT.

يُعتقد أن المهاجم قد حصل على رمز github مع أذونات الكتابة إلى مستودع AgentKit-بدوره تم تسهيله من خلال تنفيذ إجراءات GitHub TJ-Actions/تم تغييرها-وذلك لإجراء التغييرات غير المصرح بها.

هناك جانب مهم آخر يستحق تسليط الضوء عليه وهو الفرق في الأحمال المستخدمة في كلتا الحالتين ، مما يشير إلى محاولات على جزء من المهاجم للبقاء تحت الرادار.

وقال جيل: “استخدم المهاجم حمولات مختلفة في مراحل مختلفة من الهجوم. على سبيل المثال ، في الهجوم الواسع النطاق ، ألقى المهاجم ذاكرة العداء والأسرار المطبوعة المخزنة كمتغيرات بيئة في سجل سير العمل ، بغض النظر عن سير العمل”.

“ومع ذلك ، عند استهداف Coinbase ، جلب المهاجم على وجه التحديد github_token وتأكد من أن الحمولة لن يتم تنفيذها إلا إذا كان المستودع ينتمي إلى Coinbase.”

من غير المعروف حاليًا ما هو الهدف النهائي للحملة ، إنه يشتبه بقوة في أن القصد كان المكسب المالي ، على الأرجح يحاول إجراء سرقة العملة المشفرة ، بالنظر إلى استهداف Coinbase المفرط. اعتبارًا من 19 مارس 2025 ، قام تبادل العملة المشفرة بمعالجة الهجوم.

كما أنه ليس من الواضح ما الذي دفع المهاجم إلى تبديل التروس ، وتحويل ما كان الهجوم المستهدف في البداية تحول إلى حملة واسعة النطاق وأقل خلسة.

وقال جيل: “إحدى الفرضيات هي أنه بعد إدراك أنهم لم يتمكنوا من الاستفادة من الرمز المميز لتسمم مستودع Coinbase-وعند تعلم أن Coinbase قد اكتشف الهجوم وتخفيفه-خشي المهاجم من فقدان الوصول إلى عمل TJ-Actions/changefiles”.

“نظرًا لأن المساومة على هذا الإجراء يمكن أن يوفر الوصول إلى العديد من المشاريع الأخرى ، فقد قرروا التصرف بسرعة. وهذا يمكن أن يفسر سبب إطلاقهم للهجوم على نطاق واسع بعد 20 دقيقة فقط من تخفيف Coinbase التعرض في نهايتهم على الرغم من خطر الاكتشاف المتزايد”.