A exchange norte-americana Coinbase foi alvo de uma tentativa de ataque hacker envolvendo o comprometimento de ações automatizadas no GitHub.
O incidente é parte de uma cadeia de ataques que começou em março de 2025. A detecção da tentativa de invasão chamou rapidamente atenção de empresas de segurança.
A ofensiva explorou vulnerabilidades em ferramentas amplamente utilizadas por desenvolvedores para automatizar processos de verificação e entrega de código.
Isso porque o ataque explorou a manipulação de ações automatizadas, conhecidas como GitHub Actions, utilizadas por milhares de desenvolvedores para automatizar testes, implantações e fluxos de integração contínua (CI/CD).
Alvo de ataque hacker era a Coinbase, por meio de seu código aberto no GitHub
A ferramenta, presente em mais de 23 mil repositórios públicos, foi adulterada por cibercriminosos para exfiltrar variáveis de ambiente e segredos, expondo-os nos logs de execução.
Segundo a empresa de cibersegurança Unit 42, da Palo Alto Networks, o ataque começou em 9 de março e tinha como objetivo interceptar dados sensíveis de projetos hospedados no GitHub.
Um dos alvos prioritários era o agentkit, um projeto open source da própria Coinbase. A corretora é a maior dos EUA, e tem ações listadas na Nasdaq (COIN).
Os invasores tentaram explorar esse repositório como ponto de entrada para atingir estruturas internas da empresa.
O código malicioso foi identificado no dia 14 de março e rapidamente removido, evitando que segredos críticos fossem expostos ou utilizados para comprometer sistemas internos.
Apesar da gravidade técnica da brecha, os invasores falharam em comprometer diretamente a infraestrutura da Coinbase. Assim, nenhum fundo foi acessado, nem houve publicação de pacotes maliciosos.
GitHub nega comprometimento de seus sistemas
Um porta-voz do GitHub disse ao site Hacker News que não houve um problema com a ferramenta, mas sim com projetos de código aberto dos próprios usuários.
“Atualmente, não há evidências que sugiram um comprometimento do GitHub ou de seus sistemas. Os projetos destacados são projetos de código aberto mantidos pelo usuário“, disse o porta-voz não identificado.
O ataque recebeu o identificador CVE-2025-30154. O GitHub e os mantenedores das ações trabalharam para revogar acessos, revisar os logs de execução e orientar projetos afetados a atualizar as versões utilizadas.
A própria Coinbase informou que nenhuma chave secreta foi exposta e que o ataque foi neutralizado antes que qualquer sistema interno fosse comprometido.
Além disso, nenhuma movimentação indevida de ativos foi registrada, a parte mais importante para investidores da companhia. Por fim, todas as ações comprometidas foram removidas do repositório após o incidente.
