Coinbase, la più grande exchange di criptovalute negli Stati Uniti, ha evitato con successo un attacco alla catena di fornitura che avrebbe potuto compromettere la sua infrastruttura open-source.
Il 23 marzo, Yu Jian, fondatore della società di sicurezza blockchain SlowMist, ha segnalato l’incidente in un post su X, facendo riferimento a un rapporto di Unit 42, la divisione di intelligence sulle minacce di Palo Alto Networks.
Come Coinbase ha fermato un importante attacco informatico
Secondo Unit 42, l’attaccante ha preso di mira ‘agentkit’, un toolkit open-source gestito da Coinbase che supporta agenti AI basati su blockchain.
L’attore della minaccia ha forkato i repository agentkit e onchainkit su GitHub, inserendo codice dannoso destinato a sfruttare la pipeline di integrazione continua. L’attività sospetta è stata rilevata per la prima volta il 14 marzo 2025.
“Il payload era focalizzato sullo sfruttamento del flusso pubblico CI/CD di uno dei loro progetti open source – agentkit, probabilmente con lo scopo di utilizzarlo per ulteriori compromissioni,” ha riportato Unit 42.
L’attaccante ha sfruttato le autorizzazioni “write-all” di GitHub, che hanno permesso l’iniezione di codice dannoso nel flusso di lavoro automatizzato del progetto. Questo metodo avrebbe potuto consentire l’accesso a dati sensibili e creare un percorso per compromissioni più ampie.
Tuttavia, Unit 42 ha riportato che il payload ha raccolto informazioni sensibili. Non conteneva strumenti dannosi avanzati come l’esecuzione di codice remoto o exploit di reverse shell.
Nel frattempo, Coinbase ha risposto rapidamente, collaborando con esperti di sicurezza per isolare la minaccia e applicare le mitigazioni necessarie. Questa azione rapida ha aiutato l’azienda a evitare un’infiltrazione più profonda e ha prevenuto potenziali danni alla sua infrastruttura.
La posta in gioco era alta considerando la posizione di Coinbase come la più grande exchange di criptovalute negli Stati Uniti e un custode chiave per gli ETF di Bitcoin spot.
Una violazione di questo tipo avrebbe potuto causare una grande interruzione nell’industria crypto, specialmente dopo il recente incidente di sicurezza da 1,4 miliardi di dollari di Bybit.
Nonostante il tentativo fallito, l’attaccante ha da allora spostato l’attenzione su una campagna più ampia che ora attira l’attenzione globale.
Alla luce di ciò, il fondatore di SlowMist ha consigliato agli sviluppatori che utilizzano GitHub Actions—soprattutto quelli che lavorano con tj-actions o reviewdog—di controllare i loro sistemi e confermare che nessun segreto sia stato esposto.
“Se la tua azienda utilizza reviewdog o tj-actions, fai un esame approfondito,” ha dichiarato Yu Jian su X.
Questo incidente evidenzia l’importanza crescente di proteggere gli strumenti open-source man mano che l’ecosistema crypto si espande. I dati di DeFillama mostrano che l’industria crypto ha registrato exploit per oltre 1,5 miliardi di dollari quest’anno.
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
