Falha em GitHub Actions foi rapidamente identificada e contida sem comprometer ativos ou sistemas internos da corretora.

A Coinbase, uma das maiores plataformas de câmbio dos Estados Unidos, foi alvo de uma tentativa de ataque cibernético que se concentrou na manipulação de ações automatizadas no GitHub. Este incidente faz parte de uma série de ataques que tiveram início em março de 2025, rapidamente chamando a atenção das empresas de segurança cibernética.

A falha explorada pelos invasores envolveu ferramentas amplamente utilizadas por desenvolvedores, que automatizam processos de validação e implementação de código. O ataque focou especificamente nas GitHub Actions, um recurso usado por milhares de desenvolvedores para automação de testes, deploys e integração contínua (CI/CD). Esse sistema, que está presente em mais de 23 mil repositórios públicos, foi comprometido por criminosos para roubar segredos e variáveis de ambiente, expondo essas informações nos logs de execução.

Segundo a empresa de segurança Unit 42, da Palo Alto Networks, o ataque foi iniciado em 9 de março, com o objetivo de interceptar dados confidenciais de projetos hospedados no GitHub. Um dos principais alvos foi o agentkit, um projeto open source desenvolvido pela própria Coinbase. Essa plataforma, que possui ações negociadas na Nasdaq sob o símbolo COIN, foi escolhida como porta de entrada para acessar a infraestrutura interna da empresa.

O código malicioso foi detectado em 14 de março e, rapidamente, removido. A ação preventiva evitou que segredos críticos fossem expostos ou utilizados para comprometer os sistemas internos da Coinbase. Apesar da gravidade do incidente, os invasores não conseguiram acessar diretamente a infraestrutura da empresa, o que impediu o roubo de fundos ou a publicação de pacotes maliciosos.

Em resposta ao ataque, um porta-voz do GitHub afirmou, em entrevista ao Hacker News, que não houve comprometimento de seus sistemas. Segundo ele, a falha ocorreu em projetos de código aberto mantidos pelos próprios usuários. “O GitHub e seus sistemas não apresentam evidências de comprometimento até o momento. Os projetos mencionados são de código aberto e administrados pelos próprios usuários”, declarou o porta-voz, que optou por não ser identificado.

Registrado sob o identificador CVE-2025-30154, o ataque levou o GitHub, em parceria com os responsáveis pelas ações comprometidas, a tomar medidas rápidas, como revogar acessos, revisar logs de execução e recomendar atualizações para os projetos afetados.

A Coinbase, por sua vez, confirmou que nenhuma chave secreta foi exposta e que o ataque foi controlado antes que qualquer sistema interno fosse comprometido. Além disso, não foi registrada nenhuma movimentação irregular de ativos, o que tranquilizou os investidores. Após o incidente, todas as ações comprometidas foram removidas do repositório, garantindo que não houvesse mais riscos de exploração.