Coinbase đã đẩy lùi một cuộc tấn công chuỗi cung ứng nhắm vào dự án mã nguồn mở agentkit thông qua GitHub Action, có thể gây thiệt hại hàng tỷ USD.
Coinbase, sàn giao dịch tài sản số niêm yết công khai, vừa thành công ngăn chặn một cuộc tấn công chuỗi cung ứng (supply chain attack) tinh vi nhắm vào dự án mã nguồn mở agentkit của họ. Theo các chuyên gia an ninh mạng, kẻ tấn công ban đầu cố gắng xâm nhập vào hệ thống Coinbase thông qua dự án này, nhưng sau khi thất bại, đã mở rộng phạm vi tấn công bằng cách khai thác GitHub Action phổ biến.
Công ty an ninh mạng Wiz, qua phân tích danh tính GitHub được sử dụng trong vụ việc, cho rằng tác nhân độc hại này rất có thể hoạt động trong cộng đồng crypto và đặt trụ sở tại châu Âu hoặc châu Phi.
Mã độc được chèn vào GitHub Action phổ biến
Phân tích kỹ thuật cho thấy kẻ tấn công đã nhắm vào GitHub Action “tj-actions/changed-files” bằng cách chèn mã độc nhằm đánh cắp dữ liệu nhạy cảm từ các kho lưu trữ sử dụng workflow này. Khi bị Coinbase phát hiện và ngăn chặn, chúng đã mở rộng mục tiêu sang nhiều GitHub Action phổ biến khác.
“Quy mô ban đầu của vụ tấn công chuỗi cung ứng nghe có vẻ đáng sợ, vì hàng chục nghìn kho lưu trữ đang phụ thuộc vào GitHub Action bị khai thác,” Henrik Plate, nhà nghiên cứu từ Endor Labs nhận định.
Theo báo cáo của Endor Labs, có tới 218 kho lưu trữ GitHub đã bị ảnh hưởng, dẫn đến rò rỉ thông tin bí mật. Tuy nhiên, phần lớn dữ liệu bị rò rỉ là thông tin xác thực tạm thời, bao gồm thông tin truy cập Amazon Web Services (AWS), npm, Dockerhub, và token cài đặt GitHub. Do các token này tự động hết hạn sau khi workflow hoàn tất, nên tác động thực tế không lớn như lo ngại ban đầu.
Các chuyên gia an ninh cho rằng mục tiêu ban đầu của kẻ tấn công là đánh cắp tài sản số từ Coinbase, nhưng khi kế hoạch này bị phá vỡ, chúng đã chuyển sang chiến thuật gây thiệt hại trên diện rộng.
Yu Jian, nhà sáng lập công ty bảo mật SlowMist, đã chia sẻ vụ việc trên nền tảng X, cho biết nếu vụ tấn công thành công, Coinbase có thể đã trở thành một “vụ hack lớn kế tiếp” sau vụ Bybit bị tấn công mất 1,5 tỷ USD hồi tháng 2/2025.
Dù Coinbase đã xử lý được sự cố, vụ việc là lời cảnh tỉnh rõ ràng về mức độ tinh vi và quy mô ngày càng lớn của các mối đe dọa đối với chuỗi cung ứng phần mềm, đặc biệt là trong không gian tài sản số. Các dự án crypto – dù lớn hay nhỏ – không thể lơ là trước các rủi ro bảo mật đến từ bên thứ ba.
Đáng chú ý, các cuộc tấn công chuỗi cung ứng tương tự từng gây thiệt hại nghiêm trọng trước đây. Năm 2024, một người dùng đã mất 10 BTC (tương đương 725.000 USD) sau khi cập nhật một phiên bản nhiễm mã độc của thư viện hoạt họa JavaScript Lottie Player, vốn được nhiều dApp sử dụng.
