A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Az emlékek és a térbeli tájékozódás szempontjából kulcsfontosságú agyi terület, a hippokampusz működése új megvilágítást kapott az osztrák ISTA kutatóinak friss eredményei nyomán...
Mike Cagney neve sokaknak ismerős lehet a pénzügyi technológiák világában, de most új pályára állt: a blokklánc segítségével alakítaná át a Wall Street mélyrétegeit...
Érdemes megvizsgálni, mennyire fogadta be az amerikai társadalom a kriptovalutákat, miközben azok eredetileg a hagyományos bankrendszer bukásaira adott válaszként jelentek meg...
A Premier League egyik legjobban várt összecsapásán két északnyugati nagyágyú találkozik az Old Traffordon, ahol a Manchester United egy BL-hely bebiztosításáért harcol...
💸 Feltételezhető, hogy akik mostanában szeretnék fejleszteni gamer PC-jüket, nem lesznek boldogok a Microsoft legújabb közlése után: rövid időre ugyanis 32 GB RAM-ot ajánlottak a Windows 11-et használó játékosok számára, ha valaki zökkenőmentes élményre vágyik többfeladatos használat (pl...
Felmerül a kérdés, hogy mennyivel több lehet a világegyetem, mint amit eddig láttunk – erre utal többek között az, hogy a chilei Cerro Tololo Obszervatóriumban működő, 570 megapixeles Dark Energy Camera most olyan részleteket mutatott meg a Sombrero-galaxisról (M104), amelyek korábban rejtve maradtak...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. BoobieTime Breastfeeding Timer (iPhone/iPad)A BoobieTime egy 2017-ben, az alapító első gyermekének megszületését követő hetekben létrejött, hasznos alkalmazás szoptató édesanyák számára...
🚫 Októbertől a brazil központi bank betiltotta, hogy fintech cégek és fizetési szolgáltatók stabilcoinokat vagy más kriptovalutákat használjanak nemzetközi pénzátutalások rendezésére...
Lavinia és Michelle Osbourne, akik idén ünneplik 49. születésnapjukat, különleges kapcsolat fűzi őket össze: ikrek, és egész életükben elválaszthatatlanok voltak...
Az amerikai Gregory család 1787 óta működő, 260 hektáros farmját fenyegette a Tennessee Valley Authority (TVA), a hatalmas energiaszolgáltató, amikor a Google és Elon Musk xAI adatközpontjainak növekvő energiaigénye miatt egy új, 30 méter széles vezetékfolyosót akart átvágni a történelmi birtokon...
🎮 A videojátékok készítése és játszása még soha nem állt akkora befolyás alatt, mint manapság: a valamikori szabad ötletelés helyét átvette az influenszerek diktátuma, akik gyakran még maguk sem játszanak végig egy-egy játékot...
Az idei Berkshire Hathaway éves részvényesi találkozó minden eddiginél különlegesebb volt: Warren Buffett első ízben nem a színpadon, hanem a nézőtéren foglalt helyet, átadva a stafétát az új vezérigazgatónak, Greg Abelnek...
A vasárnapi Quordle-kihívás ezúttal is komoly agytornát követelt. A játék mai négy megfejtésében négy különböző magánhangzó szerepelt, és csak egyetlen szó tartalmazott ismétlődő betűt...
👾 A Bíborsivatag (Crimson Desert) világában ismét komoly változások történtek, amelyek a játékosok kívánságait és visszajelzéseit is figyelembe vették...
Ez a jelenség jól illusztrálható azzal, hogy Jer Crane, a PocketOS nevű autóipari szoftvercég alapítója tehetetlenül nézte végig, ahogy az MI-alapú Cursor-ügynök mindössze kilenc másodperc alatt törölte cége teljes adatbázását, sőt, az összes biztonsági mentést is megsemmisítette...
