A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
📈 A hét elején drámai árfolyamesés rázta meg a szoftveripart, miután az Anthropic új, MI-alapú vállalati csomagja, a Claude Cowork fenyegetést jelent a hagyományos szoftvereszközök számára...
🧠 Az OpenAI bemutatta a GPT-5.3-Codexet, amely egy fejlettebb kódoló MI-modell, és mostantól a parancssorban, fejlesztői környezetben, webes felületen, valamint új platformokon is elérhető – API-hozzáférés viszont még nincs hozzá, de hamarosan várható...
📈 A nagy techcégek versenye egyre inkább arról szól, ki tud többet költeni adatközpontokra, hogy ezzel növelje az MI-fejlesztésekhez szükséges számítási kapacitást...
🔧 Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-védelmi Ügynöksége (CISA) kötelező irányelvet adott ki, amely szerint a szövetségi ügynökségeknek fel kell kutatniuk és le kell cserélniük minden olyan hálózati eszközt – például útválasztókat, tűzfalakat és kapcsolókat –, amelyek már nem kapnak frissítést a gyártótól...
🤖 Egy átlagos hét sincs már az MI világában: friss az xAI-fúzió, a technológiai részvények piacán tombol az MI-hisztéria, és a Moltbook nevű új közösségi hálózat személyes MI-ügynökeivel robbantotta fel az internetet...
A befektetői hangulat jelentősen átalakult ezen a héten, miután egyre többen kérdőjelezik meg a vállalati szoftverek és IT-szolgáltatások értékét abban a korszakban, amelyben a mesterséges intelligencia házon belül is elláthat sok feladatot...
🚀 A LEGO idén igazán szokatlan húzással jelentkezik: érkezik a Hail Mary küldetés (Project Hail Mary) építőkészlet, pedig a film maga még mozikba sem került...
A Nintendo évekkel ezelőtt eltemette a Virtual Console-t, vagyis azt a lehetőséget, hogy klasszikus játékokat töltsünk le egyenként a Wii-re vagy a Wii U-ra...
A programozásban járatlanok ma már képesek saját alkalmazást készíteni, köszönhetően a vibe-coding megoldásoknak, például a Lovable-nek, amelyek hétköznapi nyelvű leírásból működő kódot generálnak...
🔎 A mesterséges intelligencia és a fejlett számítástechnika már ma képes olyan genetikai szekvenciákat tervezni, amelyek változatos biológiai alkalmazásokat tesznek lehetővé...
A NASA új szabályozásának köszönhetően az űrhajósok a közelgő Crew-12 és Artemis II küldetések során már magukkal vihetik iPhone-jaikat, illetve más modern okostelefonokat az űrbe és a Holdra is...
A kiberbűnözők új trükkel szálltak be a ransomware-piacra: egy legitim szolgáltató, az ISPsystem virtuális gépein keresztül terjesztik a kártékony programokat...
🕵 Évszázados rejtély, hogy miért vannak a Marson víz jelenlétére utaló nyomok, miközben a bolygó sosem volt elég meleg, hogy tartósan folyékony víz maradjon rajta...
🔧 Az OpenAI bemutatta legújabb fejlesztését, a GPT-5.3-Codex nevű MI-modellt, amely messze felülmúlja a konkurens rendszereket kódolási teljesítményben és megbízhatóságban...
Az MI-alapú keresésben látja a Reddit a jövő üzleti lehetőségét. A vállalat szerint az MI által támogatott kereső túlszárnyalhatja a jelenlegi megoldásokat, mert ott is hatékony válaszokat tud adni, ahol hivatalos válasz nem létezik – elvégre a Reddit erőssége mindig is az volt, hogy egy kérdésre rengeteg különböző vélemény érkezhet sok felhasználótól...
Kanzi, a különleges nyelvet értő bonobó valódi meglepetést okozott a kutatóknak azzal, hogy képes volt színlelt játékban részt venni, és fejben nyomon követni kitalált tárgyakat – éppúgy, ahogy a kisgyerekek teszik...
🕵 Az ázsiai államhoz köthető kiberkémkedő csoport csendben kompromittálta több mint 37 ország kormányzati rendszereit és kritikus infrastruktúráit, és több mint 70 szervezetbe jutott be sikeresen...
Az elmúlt héten újabb zuhanás rázta meg a szoftver- és adatszolgáltatók részvényeit, miután az Anthropic frissen bemutatott MI-eszközei komoly hullámokat keltettek a piacon...
🐒 Kanzi, a világhírű bonobó különleges képességekkel rendelkezett: képes volt szimbólumok segítségével kommunikálni, sőt, megértette az emberi viselkedés és a színlelt cselekvések közötti különbséget...
