Sicherheitsexperten sagen, dass das börsennotierte Coinbase das Hauptziel des Lieferkettenangriffs von GitHub Action war. Nach Angaben von Cybersicherheitsfirmen, die den Vorfall analysiert haben, versuchte der Angreifer zunächst, das Agentkit des Open-Source-Projekts Coinbase zu kompromittieren.
Erst als ihnen dies nicht gelang, beschlossen sie, die GitHub-Aktion anzugreifen und mehrere Repositories ins Visier zu nehmen. Berichten zufolge konzentrierte sich der Angreifer wahrscheinlich auf das Coinbase-Projekt, um damit auf das Ökosystem der Börse zuzugreifen und Krypto-Assets zu stehlen.
Sie konnten ihr Ziel jedoch nicht erreichen, da auch Coinbase den Angriff rechtzeitig erkannte und seine Auswirkungen abschwächte. Nach Angaben des Cybersicherheitsunternehmens Wiz zeigt die Analyse der bei dem Angriff verwendeten GitHub-Identitäten, dass der Angreifer in der Krypto-Community aktiv ist und wahrscheinlich von Europa oder Afrika aus operiert.
Obwohl Coinbase den Vorfall nicht öffentlich kommentiert hat, sagen Experten, dass die Börse bestätigt hat, dass sie das Problem gelöst hat. Expertenanalysen ergaben, dass böswillige Akteure Code in „tj-actions/changed-files“ einfügten, um sensible Daten aus Repositories, in denen der Workflow ausgeführt wird, preiszugeben.
Nachdem Coinbase den gezielten Angriff gestoppt hatte, schien es, dass der Bösewicht beschlossen hatte, die beliebte GitHub-Aktion mit einem Supply-Chain-Angriff ins Visier zu nehmen. Endor Labs stellte fest, dass der Angriff 218 GitHub-Repositories kompromittiert und sie gezwungen hat, ihre Geheimnisse preiszugeben.
Bei den meisten durchgesickerten Informationen handelte es sich jedoch um Anmeldeinformationen für Amazon Web Services, npm, Dockerhub und GitHub-Login-Installations-Tokens. Dies bedeutet, dass die Auswirkungen geringer waren als zuvor befürchtet, da es sich bei den meisten durchgesickerten Geheimnissen um GitHub-Tokens handelte, die nach Abschluss der Workflow-Ausführung abliefen.
Henrik Plate, ein Forscher bei Endor Labs, sagte:
„Das anfängliche Ausmaß des Supply-Chain-Angriffs erschien erschreckend, wenn man bedenkt, dass Zehntausende Repositories von GitHub Action abhängen.“
Unterdessen untersuchen Sicherheitsexperten auch das Motiv des Angriffs. Viele glauben, dass das Ziel wahrscheinlich darin bestand, Krypto-Assets von Coinbase zu stehlen. Die Tatsache, dass Coinbase den Vorfall rechtzeitig behoben hat, könnte jedoch dazu geführt haben, dass der Angreifer seinen Ansatz von einem gezielten Stealth-Angriff zu einem groß angelegten Angriff geändert hat, sodass er viele Projekte gefährden konnte.
Krypto-Projekte sind weiterhin bedroht
Unterdessen verdeutlicht der gescheiterte Angriff die anhaltenden Bedrohungen für Krypto-Projekte. Yu Jian, Gründer von SlowMist, der den Vorfall auf
Seine Aussage bezieht sich auf den jüngsten Cyberangriff auf die ByBit-Börse im Wert von 1,5 Milliarden US-Dollar im Februar 2025. Jian fügte hinzu, dass Unternehmen, die tj-action oder reviewdog nutzen, eine Selbstprüfung durchführen müssen, um sicherzustellen, dass ihre Geheimnisse nicht preisgegeben werden.
Interessanterweise haben solche Supply-Chain-Angriffe in der Vergangenheit zu massiven Verlusten geführt. Im Jahr 2024 verlor ein Benutzer 10 BTC im Wert von 725.000 US-Dollar durch einen Angriff, der Updates des Lottie Player npm-Pakets ausnutzte, einer Java-Script-Animationsbibliothek, die von mehreren dezentralen Anwendungen verwendet wird.
Darüber hinaus kommt es im Web3-Bereich nach wie vor häufig zu Sicherheitslücken in verschiedenen Formen. Vor ein paar Tagen verlor ZOTH beim Rückkauf von Vermögenswerten gegen reale Vermögenswerte über 8 Millionen US-Dollar, weil sein logischer Vertrag mit bösartigem Code geändert wurde, nachdem der Angreifer Administratorrechte erlangt hatte.
Cryptopolitan Academy: Haben Sie genug von Marktschwankungen? Finden Sie heraus, wie DeFi Ihnen dabei helfen kann, ein konsistentes passives Einkommen zu erzielen. Registrieren Sie sich jetzt