A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Ryugu, a Földtől 300 millió kilométerre keringő aszteroida, igazi űrbéli sztár lett, miután a japán Hayabusa2 űrszonda két mintát is hazahozott róla: egyet a felszínről, egy másikat a mélyebb rétegekből...
🎶 Például egy hatalmas csillagrobbanás vagy két szupernehéz fekete lyuk összeolvadása olyan zörejeket kelt a világegyetemben, amelyek a földi léptékkel felfoghatatlan távolságokon is átsöpörnek...
🛡 Az MI-ügynökök megjelenése új korszakot nyit a vállalati működésben. Ezek a rendszerek nem egyszerű segédprogramok, nem pusztán fejlettebb chatbotok, hanem autonóm szereplők, amelyek önállóan képesek tervezni, dönteni és végrehajtani...
🛰 Aspenben új fejezetéhez érkezik a csúcstechnológiás tűzoltás, ahol idén nyáron bevetik az első, kifejezetten erdőtüzek elleni harcra tervezett drónokat...
🔥 A légkörkutatók egy különösen erős, úgynevezett szuper El Niño kialakulására figyelmeztetnek, amely akár már a 2026-os hurrikánszezon végére is bekövetkezhet...
December elején a Microsoft automatikusan elkezdte telepíteni a Microsoft 365 Copilot nevű MI-asszisztenst tartalmazó alkalmazást minden olyan Windows-gépre, ahol a Microsoft 365 irodai programcsomag megtalálható volt, kivéve a jogszabályok miatt az Európai Gazdasági Térség országaiban...
🎵 A Denon most dobja piacra a DP-500BT nevű lemezjátszót, ami egyszerre hozza a klasszikus vinyl-élményt és a menő, nagy felbontású Bluetooth-streamelést...
Különös agyi működést figyeltek meg a kutatók azoknál, akik figyelemhiányos hiperaktivitás-zavarral (ADHD) élnek: miközben látszólag éberek, agyuk mégis időnként álomszerű, alváshoz hasonló állapotba kerül...
🌲 Az Északi-tenger mélyén rejtőzik Doggerland, egykor Nagy-Britanniát és Európát összekötő földsáv, amely 16 ezer évvel ezelőtt buja erdőkkel és változatos állatvilággal teli élőhelyet kínált – jóval korábban, mint azt eddig gondolták...
🛡 Az Nvidia komoly lépést tett az MI-biztonság terén: bemutatta a NemoClaw platformot, amely vállalati szintű MI-ügynökök futtatását teszi lehetővé saját, helyben működő hardveren...
🐛 Egy friss kutatás szerint a klórpirifosz nevű, világszerte elterjedten használt növényvédőszer hosszan tartó hatása összefüggésbe hozható a Parkinson-kór jelentős kockázatnövekedésével...
⚠ A vállalatok mind a mai napig keresik a helyes módszereket, hogyan integrálhatják az MI-t a saját működésükbe, és ez nem is baj – hiszen idő kell ahhoz, hogy átlássák az MI által generált kód és tartalom valós problémáit...
Egy több mint 545 km hosszú, 6 milliárd dolláros (kb. 2 200 milliárd forint) föld alatti vezetékrendszer, a Champlain Hudson Power Express az elkövetkező hónapokban már képes lesz ellátni New York City-t a Montreal térségéből származó megújuló vízenergiával...
Namíbia északnyugati részén, a végtelennek tűnő Etosha Pan szélén meghökkentő, szivárványszínű tavak jelentek meg egy 2011-es katasztrofális árvíz után...
💫 A világegyetem legrégebbi fényében felfedezett finom csavarodás új lendületet adhat azoknak a kutatásoknak, amelyek az univerzum legnagyobb kérdéseire keresik a választ...
💰 Jensen Huang egy pillanatig sem fogta vissza magát a színpadon, amikor a vadonatúj Blackwell- és Vera Rubin-csipekről áradozott – és na most kapaszkodj, mert olyan számokat dobott be, hogy az ember csak pislog...
🐒 Tipikus eset, amikor a technológiai játékosság komoly megoldásokat rejt: az Nvidia legújabb fejlesztése, a NemoClaw már nemcsak a jövőkutatók kedvenc témája, hanem valós segítséget jelenthet a vállalati MI-ügynökök biztonságának kezelésében...
🚗 Hadd ordítsam bele a levegőbe, hogy itt az új főnök: a Waymo berobbant az utazásmegosztó buliba, és mindenkit lesöpör — Uber, Lyft, Tesla, szoronghattok!..
Az Nvidia legújabb GTC keynote-ján bedobta a köztudatba a NemoClaw-t, egy vadonatúj biztonsági réteget, ami extra védelmet ad az OpenClaw MI-ügynökeihez...
Az MI-alapú kriptovaluták értéke kiugró növekedést mutatott, miután az Nvidia vezérigazgatója, Jensen Huang vázolta a vállalat következő lépéseit az MI-infrastruktúra terén a GTC fejlesztői konferenciáján...
Március szeszélyes arculatát idén is bizonyítja: miközben a Hawaii-szigeteket özönvízszerű esőzések sújtják, az Egyesült Államok középnyugati területein a hó vastagon borít mindent, máshol soha nem látott meleg tombol, az ország keleti részein pedig viharoktól és tornádóktól rettegnek...
Egy lényeges szempont, hogy az Nvidia ismét felforgatta a MI-iparágat: bemutatták a Vera Rubin nevű hétchipes platformot, amely minden eddiginél nagyobb teljesítménnyel és energiahatékonysággal kecsegtet, és amely mögött olyan óriások sorakoztak fel, mint az OpenAI, az Anthropic, a Meta vagy a Mistral AI...
