A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Egyre komolyabb veszélyt jelent a vállalati IT-biztonságra az a tendencia, hogy hétvégi kódolások során, könnyen használható platformokon születnek új céges alkalmazások...
Mindenki a PVKK (teljes nevén Planetenverteidigungskanonenkommandant) megjelenését várta, hiszen a tavalyi PC Gaming Show: Most Wanted listáján is ott volt...
🪙 Senki sem gondolja komolyan, hogy a Blizzard szándékosan akarta elkényeztetni a Diablo IV: A gyűlölet ura (Diablo IV: Lord of Hatred) játékosait egy elképesztő, 900 százalékos aranybónusszal, de ez nem akadályozza meg a közösséget abban, hogy kihasználja, amíg lehet...
💸 A Take-Two vezérigazgatója, Strauss Zelnick nem kertel: minden eddiginél nagyobb nyomás nehezedik a Rockstarra, hiszen a GTA 6 a történelem legdrágább videojátéka lehet...
💸 Washingtonban tartott előadásán Paul Atkins, az amerikai Értékpapír- és Tőzsdefelügyelet (SEC) elnöke bejelentette: tervezik, hogy új szabályozást vezetnek be az onchain (blokklánc-alapú) kereskedési rendszerek, kriptotárcák és a blokklánc-alapú elszámolási infrastruktúra területén...
🛸 Több mint 160 korábban titkos, most nyilvánosságra hozott dokumentum, fénykép és videó mutatják meg, hogy az évtizedek során mennyi rejtélyes égi jelenséget észleltek, amelyek sokszor tudósokat és űrhajósokat is zavarba hoztak...
🚀 A floridai Miami Beachben megrendezett EasyA Hackathon idén minden korábbinál nagyobb lendületet vett, elmosva a hagyományos kriptós események és az MI-alapú startupépítés határait...
Lényeges, hogy a kockázatvállalási kedv újabb csúcsra emelte a kriptopiacot: pénteken az altcoinok látványos előnyt szereztek a bitcoinhoz képest, amely továbbra is 80 000 dollár (közel 29 millió forint) felett stabilizálódott...
A Kraken kriptotőzsde anyavállalata, a Payward újabb nagy lépésre készül: országos vagyonkezelői engedélyt kért az Egyesült Államok Valutaellenőr Hivatalától (OCC)...
Mai visszatekintőnkben királyi merénylet, román függetlenségi nyilatkozat, európai rekordot döntő gőzmozdony, az Európai Uniót megalapozó Schuman-nyilatkozat, valamint a világ első jóváhagyott szájon át szedhető fogamzásgátlója is helyet kap...
💻 Felmerül a kérdés, hogy hová tűnik a rengeteg adat, hiszen a legújabb Micron SSD-be már 245 TB-nyi adat fér el – nagyjából egy egész adatközpontnyi kapacitás egyetlen egységben...
🔒 Ami először apróságnak tűnt, mára kulcskérdéssé vált: miként biztosítható a vállalati szoftverek megbízhatósága és biztonsága az MI-vezérelt ökoszisztémában?..
A kriptopiac legizgalmasabb fejleménye az utóbbi időben, hogy a stabilcoinok már nem csupán digitális kuriózumnak számítanak, hanem a hagyományos pénzügyek világában is komoly szerepet kaptak...
Több mint hétmillió alkalommal töltöttek le olyan androidos alkalmazásokat a Google Play Áruházból, amelyek hamisan ígértek hozzáférést telefonhívásokhoz, SMS-ekhez és WhatsApp-üzenetekhez...
🌨 Érdekes felvetés, hogy a Final Fantasy 14 bővítményeinek nevei mindig összetett szavakból állnak, amire már több mint egy évtizede következetesen ügyel a Square Enix...
📈 Az XRP árfolyama közelít az 1,40 dolláros, vagyis bő 510 forintos szinthez, miközben az utóbbi időben a volatilitás látványosan visszaesett, a piac pedig egyre kisebb sávban kereskedik...
A legtöbb jelszó alig jelent akadályt a hackereknek. Egy friss kutatás szerint világszerte majdnem minden második jelszót kevesebb mint egy perc alatt fel lehet törni...
Fontos kérdés, mennyire megbízhatóak a kriptovaluta-alkalmazások valós piaci körülmények között. Ilyen eset például, amikor egy elterjedt pénzügyi appban egy hirtelen árfolyamesés villan fel a semmiből – legalábbis néhány felhasználó képernyőjén...
💻 Rengetegen bosszankodnak Windows 11 alatt a régi, elavult párbeszédablakok láttán. Ezek a menük igencsak árulkodnak arról, hogy a rendszer mélyén sokkal idősebb kódrétegek lapulnak, mint gondolnánk...
