据报道,3 月份针对 Coinbase 的重大 GitHub 供应链攻击可追溯到 SpotBugs 工作流程中泄露的令牌。该漏洞源于 2024 年 11 月流行的静态分析工具 SpotBugs,导致其他 GitHub 项目遭到入侵,包括 Reviewdog 和 tj-actions/changed-files。这种多步骤攻击最终暴露了 218 个存储库中的机密信息。
最初的入侵发生在 SpotBugs 维护者的个人访问令牌(PAT)被添加到 CI 工作流中,随后通过恶意拉取请求被盗。被盗的令牌允许攻击者推送进一步的恶意工作流程,从而导致额外的令牌盗窃和后门安装。攻击的级联性质促进了各种项目的妥协,最终旨在破坏加密货币交易所 Coinbase。Palo Alto Networks 的 Unit 42 的研究人员发现了这些细节,为攻击的进展提供了重要的见解。来源
