A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Három nappal a start után egészen lenyűgöző helyzetbe került az Artemis II legénysége: jelenleg több mint 257 ezer kilométerre járnak a Földtől, és kevesebb mint 193 ezer kilométer választja el őket a Holdtól...
A bitcoin történetének egyik legsajátosabb szakaszához érkezett. A kriptodeviza árfolyama hónapok óta sávban mozog, miközben öt, egymástól független adatforrás is ugyanazt mutatja: a kereslet szinte észrevétlenül olvad el...
🔏 A digitális világban robbanásszerűen megnőtt az eszközkódos adathalász-támadások száma, ráadásul új, könnyen használható csalóeszközök is terjednek a neten...
🔍 A Microsoft tulajdonában lévő LinkedIn titokban JavaScript-kódokat szúr be a weboldalára látogatók böngészőibe, és így több mint 6 000 Chrome-bővítményt derít fel, valamint adatokat gyűjt a felhasználók eszközeiről...
Elon Musk új feltételt szabott azoknak a pénzintézeteknek, valamint jogi és könyvvizsgáló cégeknek, amelyek részt szeretnének venni a SpaceX tőzsdére lépésében: kötelezően elő kell fizetniük a Grok MI-szolgáltatásra, a SpaceX-hez tartozó chatbotra...
Az MXene-anyagok gyártásában vadonatúj áttörés született. A kutatók eddig példátlan tisztasággal és pontossággal képesek előállítani ezt az ultravékony, korszerű anyagot, amely a jövő technológiáinak egyik legfontosabb alapja lehet...
Például amikor egy vállalkozás vezetője azon gondolkodik, hogyan tudna árat emelni, de fél, hogy ezzel elveszíti a vevőit, az már nem csupán üzleti kihívás, hanem az amerikai gazdaság szélesebb problémájának a tünete...
Colorado most aztán belehúzott: az új átlagsebesség-mérő kamerarendszerrel igazi rémálom lett a gyorshajtóknak, akár a Waze-t, akár a Radarbotot nyomkodod...
🤧 A különféle allergiákkal világszerte egyre több ember kénytelen együtt élni. Az Egyesült Államok lakosságának több mint 30%-át érinti valamilyen allergiás tünet, és ez a szám folyamatosan növekszik...
Egy idő után minden eszköz elavul, de most az Apple egy ritka lépésre szánta el magát: olyan iPhone-okra is kiadott frissítést, amelyek már nem támogatják a legújabb, iOS 26-os rendszert...
A HarperCollins menő, többéves együttműködésbe vágott bele a Toonstar nevű, AI-vezérelt animációs stúdióval, hogy saját YouTube-sorozatokat gyártsanak HarperCollins-könyvek alapján...
🤖 A digitális térben már szinte magától értetődő, hogy minden személyes adatunk ismert: az arcfelismerés, az automatizált fizetés, az ajánlások mind gördülékennyé tették az online élményt...
Amikor az ember először kézbe veszi a Sivga Robin SV021 Pro fejhallgatót, rögtön feltűnik a különleges, fából készült dizájn és a kifejezetten kényelmes viselet...
Erre utal többek között az, hogy tudósok először alkottak teljes, nagy felbontású idegtérképet a csiklóról, amely az emberi test egyik legkevésbé kutatott szerve...
A Charles Schwab, amely közel 12 billió dollár (kb. 4 260 000 milliárd forint) ügyfélvagyont kezel, 2026 első felében bevezeti a valós idejű bitcoin- és etherkereskedést...
🎬 Áprilisban ismét frissül az Apple TV és az Apple Arcade kínálata, számos izgalmas új sorozattal és játékkal, amelyek minden korosztály számára tartogatnak meglepetéseket...
💰 Az elmúlt években sorra kerülnek napvilágra azok a hírek, amelyek szerint a hírességek és milliárdosok jelentős veszteségekkel, elsőre hihetetlennek tűnő áron kénytelenek megválni luxusingatlanaiktól...
