Um ataque à cadeia de suprimentos envolvendo a ação GitHub “tj-actions/changed-files” começou como uma investida altamente direcionada contra um projeto open-source da Coinbase, mas acabou se espalhando e afetando 218 repositórios no total. A investida inicial visava o projeto “agentkit”, com o objetivo de explorar os fluxos de CI/CD da Coinbase. Felizmente, os atacantes não conseguiram acessar segredos sensíveis ou publicar pacotes maliciosos usando a infraestrutura da empresa.

O ataque veio à tona em 14 de março de 2025 e recebeu a identificação CVE-2025-30066, com pontuação CVSS 8.6. Os invasores injetaram código malicioso na ação, permitindo o vazamento de tokens, como credenciais para DockerHub, npm, AWS e GitHub. Apesar de a ação comprometida ser usada em milhares de projetos, apenas 218 repositórios vazaram segredos, a maioria temporários e expirados ao final da execução.

Investigadores revelaram que o ataque teve início com a exploração de outra ação, “reviewdog/action-setup” (CVE-2025-30154), que forneceu ao invasor um token de acesso pessoal (PAT) para modificar a “tj-actions/changed-files” e incluir o código malicioso. A invasão envolveu técnicas avançadas como commits “pendurados”, uso de contas temporárias e ofuscação de logs. O alvo inicial, Coinbase, foi atingido por uma carga específica que só executava ações maliciosas se o repositório fosse da empresa. Acredita-se que o objetivo final fosse o roubo de criptomoedas.