Coinbase, le plus grand échange de crypto aux États-Unis, a réussi à échapper à une attaque de chaîne d’approvisionnement qui aurait pu compromettre son infrastructure open source.
Le 23 mars, Yu Jian, fondateur de la société de sécurité blockchain Slowmist, a signalé l’incident dans un poste sur X, faisant référence à un rapport de l’unité 42, la Division des renseignements sur les menaces de Palo Alto Networks.
Comment Coinbase a arrêté une cyberattaque majeure
Selon l’unité 42, l’attaquant a ciblé «Agentkit», une boîte à outils open source gérée par Coinbase qui prend en charge les agents d’IA basés sur la blockchain.
L’acteur de menace a introduit Agentkit et onchainkit dans les référentiels sur GitHub, en insérant du code malveillant destiné à exploiter le pipeline d’intégration continue. L’activité suspecte a été détectée pour la première fois le 14 mars 2025.
Lire plus
“La charge utile était axée sur l’exploitation du flux public CI / CD de l’un de leurs projets open source – AgentKit, probablement dans le but de le tirer parti de compromis supplémentaires”, a rapporté l’unité 42.
L’attaquant a exploité les autorisations «Write-All» de GitHub, ce qui a permis l’injection de code nocif dans le flux de travail automatisé du projet. Cette méthode aurait pu permettre l’accès aux données sensibles et créer un chemin pour des compromis plus larges.
Cependant, l’unité 42 a indiqué que la charge utile avait collecté des informations sensibles, mais ne contenait pas d’outils malveillants avancés comme l’exécution du code distant ou les exploits de coquille inversé.
Pendant ce temps, Coinbase a répondu rapidement, collaborant avec des experts en sécurité pour isoler la menace et appliquer les atténuations nécessaires. Cette action rapide a aidé l’entreprise à éviter une infiltration plus profonde et a empêché des dommages potentiels à son infrastructure.
Les enjeux étaient élevés en considérant la position de Coinbase comme le plus grand échange de crypto aux États-Unis et un gardien clé pour les FNB Bitcoin de Spot.
Une violation de cette nature aurait pu provoquer des perturbations majeures dans l’industrie de la cryptographie, en particulier après le récent incident de sécurité de 1,4 milliard de dollars de Bybit.
Malgré la tentative ratée, l’attaquant s’est depuis déplacé vers une campagne plus large qui attire désormais l’attention mondiale.
À la lumière de cela, le fondateur de Slowmist a conseillé aux développeurs utilisant des actions GitHub, en particulier ceux qui travaillent avec tj-actions ou revue— pour auditer leurs systèmes et confirmer qu’aucun secret n’a été exposé.
«Si votre entreprise utilise ReviewDog ou TJ-Action, effectuez une auto-examen approfondie», a déclaré Yu Jian sur X.
Cet incident met en évidence l’importance croissante d’obtenir des outils open source à mesure que l’écosystème cryptographique se développe. Les données de DeFillama montrent que l’industrie cryptographique a enregistré des exploits de plus de 1,5 milliard de dollars cette année.
Résumé : Coinbase a évité une cyberattaque majeure ciblant son infrastructure open source. Bien que les attaques soient devenues plus fréquentes, la rapidité d’intervention de Coinbase a permis de prévenir des dommages importants, soulignant la nécessité pour tous les développeurs d’auditer leurs systèmes de sécurité. L’incident met également en lumière l’importance de la sécurité dans le domaine en constante évolution de la cryptographie.
