A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
💰 A stabilcoinok váratlan pályafutása mindenkit meglepett, hiszen a kriptovilág pereméről mára a globális pénzforgalom és a céges pénzügyi folyamatok alapköveivé váltak...
Megdöbbentő új felfedezés borzolja a tudományos kedélyeket: a kutatók egy kivételesen ép Edmontosaurus-csontban eredeti szerves molekulák nyomaira bukkantak, amelyek akár 66 millió éve fennmaradhattak...
🏛 Colchester városában lenyűgöző leletre bukkantak: egy gazdagon díszített ókori sírban egy fiatal római nőt temettek el, különleges tárgyakkal és egzotikus anyagokkal körülvéve...
🤖 Fontos kérdés, miként lehet a már folyamatban lévő céges munkafolyamatokat arra használni, hogy saját MI-modellt tanítsunk, külön gépi tanulási csapat nélkül...
📈 Ami kezdetben ártalmatlannak tűnt, mára komoly sikerré vált: az AMD már a teljes x86 processzorpiac bevételeinek 38,1%-át birtokolja, ami jelentős előrelépés az előző negyedévhez képest...
A legújabb Edge-frissítés minden eddiginél komolyabb változást hozott. A Microsoft leállította a Copilot módot, ehelyett külön MI-alapú funkciókat vezetett be, amelyek közvetlenül a böngészőbe épülnek...
Egy lényeges szempont, hogy a YouTube teljesen új szemszögből közelít a tévézéshez: már nemcsak videónézésre használhatod az alkalmazást, hanem akár azonnali vásárlásra is, mindezt a saját tévéd képernyőjén...
🔈 A Xiaomi néhány látványos grafikával és a Vadonatúj forma (Brand new form) szlogennel jelentette be, hogy hamarosan piacra dobja első csíptetős, nyitott fülhallgatóját...
Több mint száz éve tartó kutatások után váratlan fordulatot hozott a DAMPE (Dark Matter Particle Explorer) űrtávcső, amelynek legújabb megfigyelései végre áttörést jelenthetnek a kozmikus sugárzás eredetéről szóló rejtély megoldásában...
A Control című játék világa már első pillantásra lenyűgöző: monumentális, letisztultan szürreális környezet, amely első blikkre egy metroidvania-játék benyomását kelti...
🚀 Érdemes megérteni, miért mozdult meg hirtelen a blokkláncvilág: a Kraken, az egyik vezető kriptopénz-tőzsde több milliárd dollárnyi kriptoeszközt mozgat át a LayerZero rendszeréről a Chainlink CCIP-re...
🏎 Ilyen eset például, amikor valaki egy alaposan tuningolt kei teherautóval száguld át Tokió szívében, Shibuya zebráin, miközben Babymetal dübörög az autó hangrendszerén – nehéz nem beleszeretni ebbe az autós fantáziavilágba...
Az AOC vadonatúj, 34 colos gaming monitora jelentősen olcsóbban kínálja ugyanazt a látványos kijelzőtechnológiát, amelyet sokan a kategória kedvencei közé tartozó ultrawide modellektől megszokhattunk...
📷 Az Insta360 új ötletével szó szerint visszarepül az időben: megérkezett a vállalat szenzációsan apró Go 3S kamerájának „Retro csomag” (Retro Bundle) kiadása...
Az otthon tisztán tartása, különösen szőrös háziállatok mellett, igazi kihívás. A folyamatos porszívózás és légszűrő-tisztítás időrabló, a szűrők pillanatok alatt eldugulnak...
💵 A Strive SATA részvénye június 16-tól minden munkanapon készpénzosztalékot fizet a befektetőknek, amire eddig egyetlen amerikai tőzsdén jegyzett értékpapír sem vállalkozott...
🎥 Különösen említést érdemel, hogy a Nintendo váratlanul előrehozta a várva várt élőszereplős A Zelda legendája (The Legend of Zelda) film bemutatóját, így az a tervezettnél korábban kerül a mozikba...
