A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
🖥 A holland kormány bejelentette, hogy elindította saját, önhosztolt Git-platformját code.overheid.nl néven, amelynek célja, hogy csökkentse a függőséget az amerikai technológiai óriásoktól, például a Microsoft tulajdonában lévő GitHubtól...
A mesterséges intelligencia mind több weboldalt böngész át, ám ezek az oldalak még mindig embereknek készülnek, tele felesleges részletekkel, amelyeket a gépek úgyis figyelmen kívül hagynak...
📷 A Nikon egy újabb, fix objektíves, full-frame szenzoros kompaktgépen dolgozik, amely a pletykák szerint a Fujifilm X100VI, a Ricoh GR IV, a Sony RX1R III és a Leica Q3 vetélytársaként lépne piacra...
Jeremy Renner újra belebújik Mike McLusky bőrébe, hogy a bűn és a rendőri erőszak uralta Kingstownban egyensúlyozzon a törvény és a bűnözői alvilág között...
Többek között egy elképesztően kockázatos magzati műtét, egy adatbázist 9 másodperc alatt eltüntető MI-ügynök és az univerzum vártnál korábbi pusztulásának lehetősége borzolták a tudományos világot a héten...
A Dire Marsh biokutató-laborjának sötét bugyraiban feltűnő, világító, rózsaszín graffitit találunk: THAKGODITSYOU, mindig kicsit másképp, vibrálóan ismétlődve a veszélyek között...
Ez a jelenség jól illusztrálható azzal, hogy sokan elsőként a tigris csíkos bundáját és az oroszlán sörényét hozzák fel, ha a két nagymacska különbségeiről esik szó...
📈 A bitcoin árfolyama rövid, iráni hírek okozta megtorpanás után újra magára talált: szombat reggel már 78 000 dollár, vagyis közel 28 millió forint fölött járt Ázsiában...
Napvilágot látott a Digital Asset Market Clarity Act (Digitális Eszközpiac Átláthatósági Törvény) friss szövege, amely jelentősen átalakítja a stabilcoinokkal kapcsolatos szabályozást az Egyesült Államokban...
Az elmúlt hét sok izgalmat hozott a tech világában, alaposan felborítva az eddigi elképzeléseket arról, mit tartogat számunkra a digitális innováció...
A Spirit Airlines 34 év után végleg lehúzta a rolót. A jellegzetes sárga gépeket üzemeltető, ultraolcsó légitársaság minden járatát azonnali hatállyal leállította, és a mintegy 17 000 dolgozó munkaviszonya is megszűnt...
A Bitcoin jövője körül számos kérdés merült fel a kvantumszámítógépek megjelenésével kapcsolatban, hiszen ezek az új gépek könnyen megfejthetik a régi típusú bitcointárcák nyilvános kulcsait...
🥊 A hétvégén a tokiói Tokyo Dome ad otthont az év egyik legizgalmasabb bokszmeccsének, ahol Naoya Inoue és Junto Nakatani feszül egymásnak az egyesített szuperharmatsúlyú világbajnoki címekért...
💻 Apple hosszú évek óta erős szereplője az asztali számítógépek piacának kifinomult formatervezéssel és erős hardverrel, különösen az M-sorozatú chipeknek köszönhetően...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Waltz of the Wizard (iPhone/iPad)A Waltz of the Wizard egy fizika alapú, első személyű varázslószimulátor, amely klasszikus fantasy élményt kínál...
🤖 Az utóbbi években a fejlesztőknek még komoly infrastruktúrára volt szükségük ahhoz, hogy nagyméretű nyelvi modelleket (LLM) működtessenek: indexelés, lekérdezőmotorok, adat-visszakeresést végző folyamatok és aprólékosan vezérelt feladatsorok tartották életben a rendszereket...
Amerika egyik legismertebb tudósa, Neil deGrasse Tyson asztrofizikus saját temetkezési terveiről fejtette ki, mi történik velünk halálunk után – és miért a hagyományos temetkezést részesíti előnyben a hamvasztással szemben...
A fejlesztők által használt MI-keretrendszerek drasztikusan átalakulnak. A bonyolult programozói környezetek visszaszorulnak, helyüket egyre inkább átlátható, hatékony és természetes nyelvű megoldások veszik át...
Az Alberta Investment Management Corporation (AIMCo), Kanada egyik óriásnyugdíjalapja, nagyot lépett: idén év elején 1 382 000 darab MSTR-részvényt (MicroStrategy) vásárolt, összesen 62,6 milliárd forintért (172,5 millió dollár)...
Újabb, a játékmenetet megtörő hibát kellett kezelnie a Blizzardnak a Diablo IV-ben (Diablo 4): a Limitless Rage nevű legendás tárgy aspektusa túlzottan hatékonynak bizonyult, ezért a fejlesztők gyorsan letiltották a használatát...
A nagyvállalati MI bevezetése eddig sokszor megrekedt, mert a háttérrendszerek egyszerűen nem voltak felkészítve arra, hogy ügynökalapú munkavégzést támogassanak...
🤠 A Far Far West meglepetéssikert aratott a Steamen: a vadnyugati, többjátékos robotcowboy-lövöldözős játék mindössze két nap alatt 250 ezres eladást produkált világszerte...
