近期, cybersecurity研究机构Unit 42和Wiz曝光了一起通过GitHub平台展开的复杂级联供应链攻击,目标直指全球知名的集中式加密货币交易所Coinbase。尽管截止目前Coinbase官方确认其资产未遭破坏,但这次攻击所引发的风险和影响不可忽视,尤其是事件波及了超过200个其他GitHub项目,凸显了开源软件生态系统中供应链安全的脆弱性。 级联供应链攻击是一种通过入侵某一软件组件或依赖项,逐步渗透并影响多个相关项目的网络攻击方式。本次事件始于攻击者对一个名为reviewdog/action-setup@v1的GitHub Action工具的入侵。该工具常用于自动化代码审查流程,广泛应用于多种软件项目中。攻击者通过未知手段成功篡改该工具,使其泄露了涉及访问权限的私密令牌(token),而这些令牌信息被记录在公开日志中,成为攻击者发起后续渗透的跳板。
随后,攻击者利用获取的权限向另一个关键GitHub Action工具tj-actions/changed-files注入恶意代码。值得注意的是,这个工具直接关联着Coinbase的开发流程,攻击者意图通过它深入进入Coinbase的代码仓库,获得写入权限,从而能够插入恶意软件或窃取敏感数据。根据Palo Alto Unit 42的调查,攻击者于2025年3月14日15:10 UTC获得了能够写入coinbase/agentkit仓库的GitHub Token,紧接着发起更大规模的攻击行动。 尽管Coinbase官方表示攻击未造成任何实际损害,且agentkit项目及其他资产安全无虞,但事件暴露出GitHub Actions这种自动化工具在供应链中的安全隐患。攻击者在未直接入侵Coinbase系统的情况下,通过供应链的细微环节打开潜在后门,表明软件开发环境的安全防护需要更加严密。 此外,攻击未成功突破Coinbase防线后,攻击者的目标迅速转移至其他项目。
研究人员确认至少218个GitHub代码库遭受不同程度的影响,具体损失和后续影响尚不明朗,这也引发了对整个开源生态安全的广泛担忧。 软件供应链安全问题近年来频发,原因在于现代软件大量依赖第三方库和自动化工具,一旦底层依赖出现安全漏洞,就可能引发波及范围极广的连锁反应。例如此前的SolarWinds事件和Log4j漏洞,均展示了供应链攻击的破坏力。本次GitHub Action攻击再次提醒开发者和企业,必须重点加强对依赖工具的安全审计、访问权限管理及持续监控。 专业建议包括:第一,限制自动化工具的权限范围,避免令牌或凭证权限过宽。第二,采用多因素认证和细粒度权限控制保障代码仓库安全。
第三,实施持续安全扫描和异常行为检测,及时发现潜在入侵迹象。第四,推动开发社区强化开源项目的安全规范和漏洞披露机制。 对普通开发者和企业用户而言,确保供应链安全已成为数字化转型和软件开发不可或缺的一环。特别是加密货币交易平台这类高度敏感的系统,更应置安全防护于首位,以防范日益复杂的黑客攻击。 总结来看,虽然此次针对Coinbase的GitHub供应链攻击未成功侵入核心系统,但其暴露的问题足以警醒整个行业。随着开源工具和自动化流程越来越深入软件开发生命周期,供应链安全管理必须得到更高的重视和持续投入。
未来,各方需要联合展开协作,推动信息共享及安全最佳实践,共同构筑更为坚固的数字安全防线。
