A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
🚀 Közel lehetünk ahhoz, hogy két történelmi Hold-misszió rajtoljon el, melyek célja a Shackleton-kráter vidéke, a Hold déli pólusának egyik legérdekesebb és leggazdagabbnak tartott területe...
Hatalmas vihart kavart az Egyesült Államokban, hogy egy szövetségi esküdtszék illegális monopóliumnak minősítette a Live Nationt és leányvállalatát, a Ticketmastert...
🌊 Na most kapaszkodj, mert az Opera böngésző most már valós időben összeköti a böngészőablakodat a legnépszerűbb AI-csevegőkkel, így jelentősen felpörgeti a böngészési élményt...
Tipikus eset, amikor a tudományos világ évtizedeken át vitatkozik egyetlen lelet jelentőségéről, míg végül egy elfeledett apró csont választ ad a nagy kérdésre...
🌍 Évmilliárdokkal ezelőtt a Föld kérge alatt zajló események máig éreztetik hatásukat: a legújabb kutatások szerint a ritkaföldfémek nem véletlenszerűen, hanem egy igen speciális földtani folyamat eredményeképpen koncentrálódnak bizonyos helyeken...
🔒 Egy frissen felfedezett biztonsági rés teljes szerverátvételre ad lehetőséget az Nginx UI felületén keresztül, mégpedig mindenféle hitelesítés nélkül...
🔴 Egy átfogó, közel húszéves kutatás több mint 650 ezer irritábilis bél szindrómával (IBS) élő amerikai egészségügyi adatait vizsgálta meg, és aggodalmakat vet fel a sokszor rutinszerűen alkalmazott gyógyszerek hosszú távú biztonságával kapcsolatban...
Az elmúlt évtizedek legnagyobb és legalaposabb kozmológiai vizsgálata készült el, amely meglepő következtetéseket hozott: továbbra sem értjük igazán, mi gyorsítja az univerzum tágulását...
Frissen tartod a szerveredet? Jobb, ha kétszer is ellenőrzöd: a legújabb, áprilisi Windows Server 2025 biztonsági frissítés ugyanis nem mindenkinek hajlandó feltelepülni...
💰 Felmerül a kérdés, hogy a digitális eszközök valóban forradalmasítják-e a pénzügyi rendszert, különösen most, hogy a Ripple, az egyik legismertebb blokklánc-vállalat partnerségre lépett Dél-Korea egyik legnagyobb életbiztosítójával, a Kyobo Life-fal...
📺 Az A sír mélyéig (As Deep as the Grave) című film első előzetese hatalmas felháborodást váltott ki az interneten, miután kiderült: a készítők teljes egészében MI-vel generált Val Kilmer-digitális hasonmást szerepeltetnek a történetben...
🧐 A tavasz mindig próbára teszi azokat, akik érzékenyek a virágporra: idén csaknem 80 millió amerikai számíthat tüsszentésre, orrfolyásra vagy köhögésre allergiás reakció miatt...
Az élővilágban folyamatos fegyverkezési verseny zajlik a fajok között, amelyek mind újabb és újabb eszközökkel próbálnak felülkerekedni ellenfeleiken...
Erre utal többek között az is, hogy a norvég homárok különösen érzékenyen reagálnak az elektromos áramra: a legfrissebb tudományos vizsgálatok szerint a humán fájdalomcsillapítók, például az aszpirin és a lidokain jelentősen csökkentik a homárok menekülési reakcióit, amikor áramütés éri őket...
🚀 A Vodafone–Three most zöld lámpát kapott az egyesült királyságbeli távközlési hatóságtól (Ofcom), hogy műholdas technológiával közvetlenül jelet sugározhasson a telefonodra – normál okostelefonokra, mindenféle extra kütyü nélkül...
