Coinbase a échappé à une attaque de chaîne d'approvisionnement qui aurait pu compromettre son infrastructure open source

Le 23 mars, Yu Jian, fondateur de la société de sécurité blockchain Slowmist, a signalé l'incident dans un poste sur X, faisant référence à un rapport de l'unité 42

Coinbase, the largest crypto exchange in the US, has successfully evaded a supply chain attack that could have had significant consequences.

Coinbase, le plus grand échange de crypto aux États-Unis, a réussi à échapper à une attaque de chaîne d'approvisionnement qui aurait pu avoir des conséquences importantes.

On March 23, Yu Jian, founder of blockchain security firm SlowMist, flagged the incident in a post on X, referencing a report from Unit 42, the threat intelligence division of Palo Alto Networks.

Le 23 mars, Yu Jian, fondateur de la société de sécurité blockchain Slowmist, a signalé l'incident dans un poste sur X, faisant référence à un rapport de l'unité 42, la Division des renseignements sur les menaces de Palo Alto Networks.

How Coinbase Stopped a Major Cyber Attack

Comment Coinbase a arrêté une cyberattaque majeure

According to Unit 42, the attacker targeted ‘agentkit’, an open-source toolkit managed by Coinbase that supports blockchain-based AI agents.

Selon l'unité 42, l'attaquant a ciblé «Agentkit», une boîte à outils open source gérée par Coinbase qui prend en charge les agents d'IA basés sur la blockchain.

The threat actor forked agentkit and onchainkit repositories on GitHub, inserting malicious code intended to exploit the continuous integration pipeline. The suspicious activity was first detected on March 14, 2025.

L'acteur de menace a alimenté les référentiels d'agentkit et d'Onchainkit sur GitHub, insérant du code malveillant destiné à exploiter le pipeline d'intégration continue. L'activité suspecte a été détectée pour la première fois le 14 mars 2025.

“The payload was focused on exploiting the public CI/CD flow of one of their open source projects – agentkit, probably with the purpose of leveraging it for further compromises,” Unit 42 reported.

"La charge utile était axée sur l'exploitation du flux public CI / CD de l'un de leurs projets open source - AgentKit, probablement dans le but de le tirer parti de compromis supplémentaires", a rapporté l'unité 42.

Exploiting GitHub’s “write-all” permissions, the attacker injected harmful code into the project’s automated workflow. This method could have enabled access to sensitive data and created a path for broader compromises.

Exploitant les autorisations «écrites» de GitHub, l'attaquant a injecté du code nuisible dans le flux de travail automatisé du projet. Cette méthode aurait pu permettre l'accès aux données sensibles et créer un chemin pour des compromis plus larges.

However, the payload collected sensitive information and did not contain advanced malicious tools like remote code execution or reverse shell exploits, according to Unit 42.

Cependant, la charge utile a collecté des informations sensibles et ne contenait pas d'outils malveillants avancés comme l'exécution du code distant ou les exploits de coquille inversé, selon l'unité 42.

Coinbase responded quickly, collaborating with security experts to isolate the threat and apply necessary mitigations. This rapid action helped the company avoid deeper infiltration and prevented potential damage to its infrastructure.

Coinbase a répondu rapidement, collaborant avec des experts en sécurité pour isoler la menace et appliquer les atténuations nécessaires. Cette action rapide a aidé l'entreprise à éviter une infiltration plus profonde et a empêché des dommages potentiels à son infrastructure.

The stakes were high considering Coinbase’s standing as the largest crypto exchange in the US and a key custodian for spot Bitcoin ETFs.

Les enjeux étaient élevés en considérant la position de Coinbase comme le plus grand échange de crypto aux États-Unis et un gardien clé pour les FNB Bitcoin de Spot.

A breach of this nature could have caused major disruption across the crypto industry, especially after Bybit’s recent $1.4 billion security incident.

Une violation de cette nature aurait pu provoquer des perturbations majeures dans l'industrie de la cryptographie, en particulier après le récent incident de sécurité de 1,4 milliard de dollars de Bybit.

Despite the failed attempt, the attacker has since shifted focus to a larger campaign now drawing global attention.

Malgré la tentative ratée, l'attaquant s'est depuis déplacé vers une campagne plus large qui attire désormais l'attention mondiale.

In light of this, SlowMist founder advised developers using GitHub Actions—especially those working with tj-actions or reviewdog—to audit their systems and confirm that no secrets have been exposed.

À la lumière de cela, Slowmist Founder a conseillé aux développeurs utilisant des actions GitHub - en particulier celles qui travaillent avec des actions TJ ou ReviewDog - pour auditer leurs systèmes et confirmer qu'aucun secret n'a été exposé.

“If your company uses reviewdog or tj-actions, do a thorough self-examination,” Yu Jian stated on X.

«Si votre entreprise utilise ReviewDog ou TJ-Action, effectuez une auto-examen approfondie», a déclaré Yu Jian sur X.

This incident highlights the growing importance of securing open-source tools as the crypto ecosystem expands. Data from DeFillama shows that the crypto industry has recorded exploits of more than $1.5 billion this year.

Cet incident met en évidence l'importance croissante d'obtenir des outils open source à mesure que l'écosystème cryptographique se développe. Les données de DeFillama montrent que l'industrie cryptographique a enregistré des exploits de plus de 1,5 milliard de dollars cette année.