Investigadores han determinado que Coinbase fue el objetivo principal de un reciente ataque en cadena de suministro que comprometió claves secretas en cientos de repositorios en GitHub.
Los reportes de Palo Alto Unit 42 y Wiz revelan que la brecha se inició cuando código malicioso fue inyectado en reviewdog/action-setup@v1, un GitHub Action popular.
¿Cómo ocurrió el ataque?
1️⃣ Compromiso inicial:
Los atacantes modificaron reviewdog/action-setup@v1 para extraer tokens de autenticación de CI/CD y volcarlos en los registros de GitHub Actions.
2️⃣ Propagación:
El GitHub Action tj-actions/eslint-changed-files invocó reviewdog/action-setup@v1, lo que provocó el filtrado de secretos. Esto permitió a los atacantes robar un Token de Acceso Personal (PAT).
3️⃣ Compromiso de Coinbase:
Con el token robado, los atacantes inyectaron un commit malicioso en tj-actions/changed-files, afectando miles de proyectos. Coinbase/agentkit, un framework clave para agentes de IA en blockchain, fue uno de los principales afectados.
Aunque los atacantes obtuvieron un token con permisos de escritura, Coinbase aseguró que ningún activo de la empresa fue comprometido.
Impacto global del ataque
23.000 proyectos utilizaban changed-files pero solo 218 repositorios fueron afectados. Inicialmente, el ataque se centró en Coinbase, pero se expandió a otros proyectos cuando el intento falló.
⚠️ Recomendaciones de seguridad
✅ Revocar y rotar tokens de acceso regularmente.
✅ Monitorear registros de GitHub Actions en busca de filtraciones de credenciales.
✅ Evitar dependencias no auditadas en GitHub Actions.
✅ Implementar políticas de acceso de menor privilegio para tokens y secretos.
¡La seguridad en CI/CD es clave para proteger tus repositorios!