A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Monthly Dystopia (iPhone/iPad)A Monthly Dystopia című túlélőjáték George Orwell 1984 című regényének borús világából merít ihletet...
Az Észak–New York-i Massena East egykor hatalmas alumíniumkohó volt, most azonban új életre kelhet – igaz, már nem ércet, hanem biteket olvasztanak majd benne...
Tipikus eset, amikor mindenki lemond valamiről, majd a legváratlanabb pillanatban pozitív fordulat jön: az amerikai National Science Foundation (NSF) idén 2 599 fiatal kutatót támogatott, ami minden eddigi rekordot megdönt...
A NASA mérnökei kritikus döntést hoztak: április 17-én lekapcsolták a Voyager 1 egyik utolsó tudományos műszerét, az alacsony energiájú töltött részecskék detektorát (Low-Energy Charged Particles, LECP)...
Az Amazon frissítette kínálatát a vadonatúj Fire TV Stick HD-vel, amely már a cég Vega OS nevű, saját fejlesztésű, Linux-alapú operációs rendszerével érkezik...
🎮 A Philips bemutatta legújabb, letisztult, fehér dizájnú, 27 colos, dupla üzemmódú gaming monitorát, amely hamarosan Nyugat-Európában is elérhető lesz...
Az Intel mostantól hazai gyártású Core Series 3-as processzorokat kínál, amelyeket Hillsboro és Chandler gyáraiban, 2 nanométeres technológiával készít...
Rendkívüli események sora rázta meg a tudományos világot az elmúlt héten: egy üstökös látványos pusztulását örökítették meg a Nap közelében, miközben az amerikai Potomac folyó került az ország legveszélyeztetettebb vízfolyásainak élére, főként az adatközpontok rohamos terjeszkedése miatt...
Sokaknak gyerekként csak álom volt egy Neo Geo konzol a ’90-es években, de most végre eljött a visszavágás ideje: a legendás SNK-csoda modern verziója, az új Neo Geo AES+ hamarosan itt van!..
💪 Évről évre emberek milliói töltenek hosszú órákat irodai székben vagy képernyők előtt, sokan pedig hajlamosak azt gondolni, hogy a sok ülés elkerülhetetlenül rontja az egészséget...
🦋 Jellemző példa erre, hogy miközben évtizedek óta a klímaváltozás jelképének számítanak a jégtáblák szélébe kapaszkodó jegesmedvék, néhány populáció váratlanul jól alkalmazkodtak a változó környezethez...
Viharos nap a történelemben: kezdetét veszi az amerikai függetlenségi háború, elismerik az Egyesült Államokat, megszületik Belgium semlegessége, és pápát választanak...
Az új, Ausztriában és Seattle-ben fejlesztett okos nyakörveknek köszönhetően sosem volt ilyen egyszerű odafigyelni kutyánk vagy macskánk egészségére – akkor is, ha nem tudnak szólni, mi bántja őket...
Az iPhone 17e igazi közönségkedvenc lett, ami nem is csoda: végre egy olyan középkategóriás Apple-mobil, ami miatt nem érzi magát senki másodosztályúnak...
🚨 A Google Protocol Buffers JavaScript-implementációja, a protobuf.js komoly biztonsági rést tartalmaz, amelyen keresztül támadók távoli kódvégrehajtást érhetnek el...
💬 Nem hagyható figyelmen kívül, hogy a kezdetekben az egyik legnagyobb érv a Pixel telefonok mellett az volt, hogy a készülékek hosszú távon megkapták a legújabb funkciókat...
Egy lényeges szempont, hogy a Google Photos évről évre egyre népszerűbb, köszönhetően a felhasználóbarát kezelésnek és a felhőalapú tárolás kényelmének...
Erre utal többek között az, hogy az elmúlt időszakban meredeken nőtt a továbbtanulási szándék a fiatal felnőttek körében, még olyan gazdasági környezetben is, ahol folyamatosan bővül a munkaerőpiac...