A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Fontos kérdés, hogy idén vajon végre látunk-e valódi újdonságot az Apple-től, vagy marad a visszafogott frissítgetés, amit az utóbbi időben megszokhattunk...
📶 A Samsung Galaxy S26 készülékek hamarosan lehetővé teszik a műholdas kommunikációt, így a felhasználók világszerte hozzáférhetnek ehhez a fejlett funkcióhoz...
Megvizsgálandó, hogy miért található hihetetlenül kevés neandervölgyi eredetű DNS az emberi X-kromoszómában, míg más génszakaszokon jóval több maradt fenn...
👟 A kosárlabdapályák jellegzetes nyikorgása végre magyarázatot nyert: a hangot nem egyszerűen a gumi és a parketta közti súrlódás okozza, hanem a talp és a padló között kialakuló, szuperszonikus sebességgel mozgó kis súrlódási zónák...
🍔 Már nemcsak a grillen történik a varázslat: a Burger King bevetette legújabb trükkjét, egy mesterségesintelligencia-alapú chatrobotot, amely beépült a dolgozók fejhallgatóiba...
Több mint 6500 terhes nő adatait elemezve fény derült arra, hogy a COVID–19 elleni védőoltás a várandósság idején nemcsak a vírus elleni védelmet nyújtja, hanem jelentősen mérsékli a preeklampszia kialakulásának esélyét is...
A japán Trend Micro két súlyos sebezhetőséget is javított az Apex One biztonsági rendszerében, amelyek lehetővé tették a hackerek számára, hogy távolról kártékony kódot futtassanak sérülékeny Windows gépeken...
Egy súlyos kibertámadás során a Conduent üzleti szolgáltató rendszereihez jogosulatlanul hozzáfértek, és akár 25 millió amerikai személyes adata kerülhetett rossz kezekbe – közülük 15 millióan texasiak...
🤖 A Perplexity bemutatta új fejlesztését, a Computert, amely képes önállóan megszervezni és levezényelni összetett feladatokat, miközben több MI-modelleket használ egyszerre...
Az orforglipron, az Eli Lilly új fejlesztésű, szájon át szedhető, GLP-1-receptoron ható készítménye látványos sikereket ért el a legújabb klinikai vizsgálatban...
😁 Ez a jelenség jól illusztrálható azzal, hogy a Google lendületét egy évnyi fejlesztés sem tudta megtörni: az MI-modellek sorozatos frissítéseivel sikerült az élmezőnybe ugrania, sőt, több területen még a legnagyobb versenytársakat is maga mögé utasította...
A chilei Cerro Pachón-hegy tetején működő Vera C. Rubin Obszervatórium szenzációs felfedezésekkel indította tudományos küldetését: egyetlen éj leforgása alatt 800 000 égi objektumról adott ki riasztást...
Éveken át a fejlesztők gondtalanul használták a Google Cloud API-kulcsokat nyilvános weboldalak JavaScript-kódjaiban, például térképekhez, YouTube-beágyazásokhoz vagy Firebase-szolgáltatásokhoz...
A Mars felszínén most új, rejtélyes képződmények kerültek előtérbe. A Curiosity marsjáró friss felvételein óriási, pókhálószerű hálók, úgynevezett boxwork-képződmények láthatók, melyeket apró, tojásra emlékeztető gömbök borítanak...
Végre itt van egy mesterséges intelligencia, ami tényleg dolgozik helyetted, nem pedig csak figyel, vagy pofátlanul megszakít minden húsz másodpercben...
🔒 Az Apple bejelentette, hogy az iPhone és az iPad az első és eddig egyetlen fogyasztói eszközök, amelyek megfelelnek a NATO tagállamainak legszigorúbb információbiztonsági követelményeinek...
Létezik az a helyzet, amikor próbálsz valami menőt vagy vicceset mondani angolul, aztán szembejön veled egy kedves, de értetlen tekintet, mert az a bizonyos „break a leg” vagy az elhíresült „bite the bullet” ott helyben totál félremegy...
📈 A Block, amely alá tartozik a Square fizetési rendszer, a Cash App, a Tidal, valamint egy nyílt forráskódú MI-platform, hirtelen a világgazdasági diskurzus központjába került...
