A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Az a miniatűr e-könyv-olvasó, amelyet egy lelkes YouTuber, Paul Lagier fejlesztett ki 3D-nyomtatott házzal és házilag összeállítható elektronikai alkatrészekkel, alig nagyobb egy felnőtt hüvelykujjánál...
Ebből következően érdemes megérteni, hogy a Windows 11 most egy meglepően alap, de annál kényelmesebb funkcióval bővült: egy kicsi, ötletes segédprogrammal, amely leveszi az állandó ablakzsonglőrködés terhét, főleg, ha túl sok program fut egyszerre...
Az elmúlt évben sok rendszergazda szembesült azzal, hogy a Windows Server 2019 vagy 2022 rendszerük egyik napról a másikra, szinte varázsütésre Windows Server 2025-re frissült – ráadásul sokszor anélkül, hogy bárki licencet szerzett volna rá...
💻 Vannak, akik már gyermekkorukban is komoly tehetségről tesznek tanúbizonyságot. Demis Hassabis is közéjük tartozik: hatévesen még csak szülei bátorítását hallgatta, de már ekkor elgondolkodott azon, hogy mit is jelent igazán a legjobbat nyújtani...
Az okosórák és fitnesz-karkötők piaca hatalmas ugrásokon megy keresztül, különösen olyan innovációknak köszönhetően, mint a mesterséges intelligencia, amely a nyers egészségügyi adatokat hasznos tanácsokká alakítja át...
🔬 Izraelben rendkívüli régészeti leletre bukkantak: a Sakhnin-völgyben legalább tíz olyan őskori kőbaltát találtak, amelyeket nem véletlenszerűen, hanem tudatosan, különleges ásványi anyagok, kövületek és geodák felhasználásával készítettek...
💸 A Valve nagy erőkkel dolgozik a Steam Machine piacra dobásán, de miközben a RAM- és tárhelyhiány miatt a konzol-PC bevezetése csúszhat, a cég folyamatosan készíti elő a digitális bolt fontos funkcióit is...
Az élet során végzett, szellemileg megterhelő tevékenységek, mint az olvasás, az írás vagy idegen nyelvek tanulása, jelentősen befolyásolhatják az időskori agy egészségét...
Az Apple alaposan felkavarja az okostelefonos állóvizet: hamarosan bemutatkozhat az első hajlítható iPhone, amely minden előzetes találgatással szemben nem iPhone Fold, hanem iPhone Ultra néven érkezik...
📈 Tipikus eset, amikor a piac izgatottan vár egy kiemelt szint áttörésére, mégsem sikerül: a bitcoin ismét elakadt a 75 000 dolláros (27,2 millió forint) csúcsnál, és lefordult a keddi, közel 76 000 dolláros (27,6 millió forint) kísérlet után; jelenleg 73 900 dollár (26,8 millió forint) körül forog...
Ez a jelenség jól illusztrálható azzal, hogy a legtöbb háztulajdonos azt hiszi, egy biztonsági kamera felszerelésével hátradőlhet, pedig egy rossz helyre helyezett kamera csak dísz a falon...
A vállalatoknak egyre nagyobb kihívást jelent a mesterséges intelligenciára épülő ügynökök bevezetése és működtetése, különösen, amikor ezek összetett irányítási rendszereket igényelnek...
🤖 A Gemini hamarosan túlléphet a hagyományos csevegőfunkción: a legújabb fejlesztésekkel képes lehet komplex munkafolyamatok kezelésére, amelyek eddig csak emberi közreműködést igényeltek...
Az Artemis II űrhajósainak jelentős felfedezése örömmel töltötte el a kutatókat: a Hold felszínén villanó meteorbecsapódások nemcsak látványosak, hanem kulcsfontosságú információkat hordoznak a jövő holdbeli missziói számára...
Többek között logisztikai, pénzügyi modellezési és anyagtudományi problémák megoldását ígérik a kvantumszámítógépek, de megbízhatóság nélkül mindez csak ígéret marad...
Felmerül a kérdés, miért kell hónapokat várniuk a leendő sofőröknek, mire sorra kerülnek a KRESZ-vizsgán – ezt a bosszantó helyzetet próbálja orvosolni a brit közlekedési hatóság (DVSA), amely most azon dolgozik, hogy akár otthonról is elvégezhető legyen az elméleti vizsga...
Nemrég kibertámadás érte a világ egyik vezető oktatási vállalatát, a McGraw-Hillt, amelynek során hackerek hozzáfértek belső adatokhoz egy hibás Salesforce-beállítás miatt...
