В марте хакеры устроили хитрую атаку через GitHub, и главной целью, похоже, была криптобиржа Coinbase. Об этом рассказали исследователи из компаний Palo Alto Unit 42 и Wiz. Сначала злоумышленники пытались взломать один из открытых проектов Coinbase, чтобы украсть важные данные, но компания вовремя заметила угрозу и остановила нападение. Тогда хакеры переключились на более масштабную атаку, задевшую сотни других проектов.
Всё началось с того, что хакеры заразили популярный инструмент GitHub Actions под названием “tj-actions/changed-files”. Этот инструмент используют больше 23 тысяч проектов для автоматической работы с кодом. Злоумышленники добавили в него вредоносный код, который “сливал” секретные данные — например, ключи доступа к AWS, токены GitHub и пароли — прямо в общедоступные логи. В итоге пострадали 218 репозиториев, где хранится код разных компаний и разработчиков.
Coinbase отделалась лёгким испугом, но для других украденные данные могут привести к серьёзным проблемам, вроде взлома серверов или кражи денег. Разработчики “tj-actions” уже обновили защиту, убрав старый токен и добавив новые меры безопасности.