A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Külön említést érdemel, hogy a Dell új XPS RTX Spark mini PC-je erőteljes Mac Studio-hangulatot áraszt, és most komoly kihívót kaphat az Apple a kompakt gépek piacán...
⭐ A színészi pályakezdés mindig is tele volt kihívásokkal, de napjainkban egy egészen új veszély is fenyegeti azokat, akik Hollywoodot szeretnék meghódítani...
Egy lényeges szempont, hogy az emberi fogakon talált apró barázdákat évtizedek óta szinte biztos bizonyítékként kezelték arra, hogy őseink különféle eszközöket használtak szájhigiéniára vagy a fogíny fájdalmának enyhítésére...
📈 A kriptotőzsdék világában új korszak kezdődik: a Bybit lehetővé teszi, hogy kisbefektetők közvetlenül, kedvezményes áron vásárolhassanak részvényeket olyan vállalatok nyilvános részvénykibocsátásán (IPO-ján), ahová eddig kizárólag kiválasztott intézményi körök fértek hozzá...
Érdekes felvetés, hogy egy Spanyolország partjainál talált, különleges vas sisakgyűjtemény évtizedekig római korinak számított, ám a legújabb kutatások gyökeresen új megvilágításba helyezték ezeket a régészeti leleteket...
📈 Felmerül a kérdés, hogy mennyire stabil a kriptopiac, amikor a legnagyobb szereplők folyamatosan adnak-vesznek, miközben az árfolyamok zuhanásba kezdenek...
A Spotify újabb lendületet vett videós tartalmainak bővítésében: hamarosan élő koncertközvetítésekkel is próbálkozhat, hogy még közelebb hozza az előadókat rajongóikhoz...
Ilyen volt például, amikor a régészek a Vindolanda erődben, Hadrianus fala mentén egy igazi szenzációt tártak fel: a világ legrégebbi zuhanypapucsát...
A Sony honlapján kiszivárgott új Bravia OLED TV alaposan felkavarta a kedélyeket, hiszen kategóriájához képest két meglepő tulajdonságot is kínál, amelyek könnyen elcsábíthatják azokat, akik eddig a drágább Bravia 8 II mellett döntöttek volna...
Ez a jelenség jól illusztrálható azzal, hogy a vállalati szféra rég nem látott lelkesedéssel veti bele magát az MI-fejlesztésekbe, de a gyakorlati eredmények elmaradnak a várakozásoktól...
💲 Fontos kérdés, hogy a kriptopiac kiszámíthatatlan ármozgásából hogyan lehet profitálni. Többek között emiatt jelentett be egy újdonságot a világ egyik legnagyobb tőzsdéje, a CME, amely már lehetővé teszi, hogy a kereskedők ne a bitcoin árfolyamára, hanem annak volatilitására, vagyis az ármozgás mértékére fogadjanak...
Érdekes fejlemény, hogy az arany ára ismét lejjebb csúszott: több mint 20%-kal esett az árfolyam a januári rekordhoz, vagyis a kilónkénti 180 millió forinthoz képest, sőt, most először október óta az arany ára az utolsó 200 kereskedési nap átlagára, azaz a 200 napos mozgóátlag alá zuhant...
