A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
🚀 A japán Advantest részvényei akár 14%-ot is emelkedtek csütörtökön, miután a vállalat minden eddiginél nagyobb negyedéves árbevételt jelentett, köszönhetően az MI-chipek tesztelőberendezései iránti robbanásszerű keresletnek...
December végén összehangolt kibertámadás érte Lengyelország áramhálózatát, amely mintegy 30 különböző elosztott energetikai létesítményt célzott, köztük kapcsolt hő- és áramtermelő erőműveket, valamint szél- és napenergia-rendszereket...
🤖 A Tesla először veszteséggel zárta az évet az elektromosautó-piacon: a bevételek 3%-kal csökkentek 2025-ben, miközben a vállalat profitja az utolsó negyedévben 61%-kal esett vissza...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. TimesX Times Tables Tester (iPhone/iPad)A TimesX egy olyan alkalmazás, amely segít az általános iskolás gyerekeknek a szorzótábla gyakorlásában...
2026-ban éppen száz éve lesz annak, hogy Erwin Schrödinger megalkotta azt az egyenletet, amely alapjaiban változtatta meg a fizikáról alkotott képünket...
A Samsung hivatalosan megerősítette, hogy még idén bemutatja következő generációs AR-szemüvegét, amely multimodális MI-képességekkel lesz felszerelve...
📶 Ilyen eset például, amikor Joseph Fourier kétszáz évvel ezelőtt bevezette azt a zseniális elvet, hogy szinte bármilyen függvényt fel lehet bontani egyszerű hullámok összegére...
Röviden: ezen a napon véget ért a Rásidún Kalifátus, megalakult az American League, Karl Benz levédette az első benzinüzemű autót, és Magyarország elsőként a keleti blokkból diplomáciai kapcsolatot létesített Dél-Koreával...
Az Egyesült Államok Energiaügyi Minisztériuma új kezdeményezést indít a nukleáris üzemanyag-ellátási lánc megerősítésére, miután a nukleáris energia iránti kereslet ismét megugrott – főleg az óriási energiaigényű, úgynevezett hiperskálerek adatközpontjai miatt...
A Google DeepMind új MI-modellje, az AlphaGenome alapjaiban változtathatja meg a DNS, vagyis az élet teljes receptjének értelmezését, és utat nyithat a betegségek megértésében és az új gyógyszerek felfedezésében...
Egy forradalmi nanotechnológiai fejlesztés lehetővé teszi, hogy a szervezetből célzottan távolítsák el azokat a fehérjéket, amelyek például a demencia, illetve a daganatok kialakulásáért felelősek...
A nátrium-ion (Na-ion) akkumulátorok friss fejlesztései igazi áttörést jelenthetnek az energiatárolásban, és könnyen leválthatják a jelenleg uralkodó lítium-ion (Li-ion) akkumulátorokat...
A UPS újabb nagyszabású leépítést jelentett be: idén 30 ezer állás kerülhet veszélybe, ahogy a cég tovább csökkenti az együttműködését az egykori legnagyobb partnerével, az Amazonnal...
Claude, az Anthropic által fejlesztett MI-chatbot, egy különleges, 80 oldalas „lélekkel” rendelkezik, amely meghatározza a személyiségét és alapvető szabályait...
Kezdetben az amerikai technológiai óriások játszották a főszerepet a mesterséges intelligencia által támogatott kódolás piacán, de most új európai rivális lépett színre...
A kaliforniai Mountain View-ban található Számítógép-történeti Múzeum mostantól virtuálisan is látogatható, így már nem kell Amerikáig utazni ahhoz, hogy valaki belemerüljön a digitális kor legfontosabb ereklyéi közé...
