A Coinbase, uma das maiores exchanges de Bitcoin do mundo, escapou por pouco de um sofisticado ataque cibernético que envolveu a manipulação de uma ferramenta popular hospedada no GitHub.

O ataque, identificado como parte de uma cadeia iniciada em março de 2025, envolveu o comprometimento de ações automatizadas conhecidas como GitHub Actions, amplamente utilizadas por desenvolvedores para testes, deploys e integração contínua (CI/CD). A investida chamou rapidamente a atenção de empresas de cibersegurança.

O objetivo dos hackers era explorar vulnerabilidades nessas ações para exfiltrar variáveis de ambiente e segredos sensíveis, que acabavam sendo expostos nos logs de execução. A ferramenta afetada estava presente em mais de 23 mil repositórios públicos, incluindo um projeto open source da própria Coinbase chamado agentkit.

Segundo a empresa de cibersegurança Unit 42, da Palo Alto Networks, o código malicioso foi introduzido no dia 9 de março e detectado no dia 14, sendo removido rapidamente. A intenção dos hackers era usar o repositório como ponto de entrada para alcançar ambientes internos da empresa.

Apesar da gravidade técnica, a infraestrutura da Coinbase não foi comprometida. Nenhum fundo foi acessado, nenhuma chave secreta foi exposta e não houve publicação de pacotes maliciosos. A resposta rápida da equipe evitou maiores danos.

O GitHub declarou que seus sistemas não foram comprometidos e que o problema se limitou a projetos de código aberto mantidos por usuários. O ataque recebeu o identificador CVE-2025-30154, e ações comprometidas foram revogadas e removidas após o incidente.

A Coinbase reforçou que o ataque foi neutralizado antes de qualquer impacto em seus sistemas internos e que nenhuma movimentação financeira indevida foi detectada — alívio para os investidores da corretora, que também tem ações listadas na Nasdaq (COIN).

Via - livecoin