A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Fontos kérdés, melyik új eszköz éri meg igazán a pénzét. Most megmutatjuk, hogyan teljesít az ASUS ZenBook A16, az Apple AirPods Max 2, a Sonos Play hangszóró és az LG Sound Suite házimozi-rendszer a gyakorlatban – plusz pár extra eszköz is bekerült a körképbe...
💸 Észak-Korea nemrég újabb súlyos csapást mért a kriptoiparra: milliárdos nagyságrendű lopások rázták meg a piacot, amely amúgy is szenved a korábbi botrányok miatt...
Közel 6,3 milliárd forintot fizet az IBM az amerikai igazságügyi minisztériumnak, hogy rendezze a személyi kiválasztáshoz kötődő, jogsértő DEI (esélyegyenlőségi és sokszínűségi) gyakorlatok miatt indult pert...
Most kapaszkodj, mert a Bitcoin lerázza magáról az eladási stresszt: miután február 5-én 60 000 dollár közelében elérte a mélypontját, folyamatos emelkedésbe kezdett, és most komótosan közelít a 70 000 dolláros (kb...
⚠ Márciusban két, egymástól teljesen független támadó mérgezte meg a legsikeresebb nyílt forráskódú eszközöket, amivel tízezernél is több szervezet titkai kerültek veszélybe – a teljes hatás csak hónapok múlva derül majd ki...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Greeny Word Journey (iPhone/iPad)A Greeny Word Journey egy nyugtató és szórakoztató szókirakó játék, amely segíti az agy tornáztatását és a szókincs fejlesztését...
Az amerikai ingatlanpiac sokak számára még mindig egy rémálom, hiszen a kínálat ugyan bővül, de a legtöbb városban még mindig kevesebb az eladó lakás, mint a járvány előtti, 2019-es szinten...
Egy ritka genetikai rendellenesség diagnózisa sok család előtt komoly akadályokat állít, hiszen gyakran alig találni információt, nincsenek bejáratott kezelések, és nincs támogatói hálózat...
Brazíliában már 175 millió ember használja a központi bank által fejlesztett Pix azonnali fizetési rendszert, amely QR-kódokat és egyedi azonosítókat alkalmaz a valós idejű átutalásokhoz...
Április 10-én négy asztronauta sikeresen tért vissza a Földre az Artemis II küldetésről, miután a NASA történetének első emberes holdkerülő útját hajtották végre több mint fél évszázad után...
Jellemző példa erre, hogy az Anthropic egyre kifinomultabb MI-modelleket fejleszt, melyek képesek mélyen rejtőző biztonsági hibákat felfedezni a szoftverkódban, és akár az adminisztrátori szintű hozzáférést biztosító sebezhetőségeket is kihasználni...
Komolyan mondom, ma már a benzinkúton tankolni felér egy kisebb lakáshitel felvételével, főleg amióta Iránban kitört a háború, egekbe szöktek az árak...
A legfejlettebb MI-rendszerek ismét bebizonyították, hogy az emberi intuíciót nem könnyű pótolni, amikor a valódi, összetett világot kell értelmezni...
Élénk ünneplés kísérte az Artemis II küldetés hazatérését, amikor 2026. április 10-én az Orion űrhajó tíznapos holdközeli út után a Csendes-óceánba csobbant San Diego partjainál...
Kiemelkedő nap a történelemben: a Fort Sumter elleni lövésekkel elindult az amerikai polgárháború, a Columbia űrrepülőgép első útjára indult, és biztonságosnak nyilvánították a járványokat megtörő gyermekbénulás elleni vakcinát...
Az Egyesült Államokban súlyos légiforgalmi irányítóhiány alakult ki, ezért a Szövetségi Légügyi Hatóság (FAA) szokatlan megoldáshoz folyamodott: mostantól célzottan videójáték-rajongók jelentkezését várják...
Több mint 20 000 kriptovaluta-csalás áldozatát sikerült azonosítani egy nemzetközi rendőrségi akció során Kanadában, az Egyesült Királyságban és az Egyesült Államokban...
