Attacco a Coinbase
Attacco alla supply chain tramite "Changed-Files"
L’attacco noto come Changed-Files supply chain attack è stato solo una parte iniziale di un attacco più complesso e a più livelli contro la supply chain (catena di fornitura del software) che aveva come obiettivo finale Coinbase, una delle principali piattaforme di scambio di criptovalute.
Nello specifico, i cybercriminali hanno compromesso una GitHub Action chiamata Changed-Files. Le GitHub Actions sono strumenti automatizzati utilizzati all'interno dei progetti per eseguire operazioni come test, build, deploy, ecc. L’azione compromessa veniva utilizzata da un progetto open-source di Coinbase chiamato AgentKit.
Lo scopo dell’attacco era cercare di rubare token di accesso (access tokens) che avrebbero potuto fornire accesso alla piattaforma Coinbase, probabilmente con l’intento di sottrarre dati o fondi.
Tuttavia, secondo quanto riportato dalle aziende di sicurezza Wiz e Palo Alto Networks, l’attacco non ha avuto successo: Coinbase non è stata compromessa e nessun dato sensibile è stato sottratto.
Inoltre, Wiz è riuscita a risalire a dettagli sull’autore dell’attacco: si tratterebbe di una persona che parla francese e inglese, e i suoi orari di attività corrispondono a quelli di un fuso orario europeo o africano, suggerendo che si trovi in una di queste regioni.
Nel dettaglio secondo un'analisi dettagliata condotta da Palo Alto Networks, l'attacco iniziale aveva come obiettivo Coinbase, focalizzandosi sul flusso CI/CD pubblico di un loro progetto open-source chiamato AgentKit. Tuttavia, l'aggressore non è riuscito a sfruttare i segreti di Coinbase né a pubblicare pacchetti malevoli. Dopo questo tentativo, lo stesso attore ha ampliato l'attacco, compromettendo versioni specifiche di tj-actions/changed-files, un'azione utilizzata in oltre 23.000 repository GitHub. L'attacco è stato identificato il 14 marzo 2025, quando sono state rilevate attività sospette: gli aggressori avevano iniettato un payload che estraeva la memoria del runner CI/CD, esponendo variabili d'ambiente sensibili e segreti direttamente nei log dei workflow.
Le indagini hanno rivelato che la compromissione di tj-actions/changed-files è avvenuta attraverso una dipendenza da un'altra azione compromessa, reviewdog/action-setup. Ulteriori analisi hanno evidenziato che altre azioni appartenenti all'organizzazione reviewdog sono state anch'esse violate. Fortunatamente, i manutentori di tj-actions e reviewdog hanno applicato le misure di sicurezza necessarie per mitigare la minaccia.
