A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. English Vocab & Dictionaries + (iPhone/iPad)A Simply Paste Wordbook M Pro angol szókincsfejlesztő alkalmazás kifejezetten angolt tanulók számára készült...
Érdemes tudni, hogy a New York Times Connections nevű játéka minden nap újabb fejtörőt kínál azoknak, akik szeretik a szójátékokat és a logikai kihívásokat...
🍆 Éppen csak elindult a Fehér Lótusz (The White Lotus) negyedik évadának forgatása Franciaországban, máris jött egy drámai fordulat: Helena Bonham Carter váratlanul búcsút intett a sorozatnak, ráadásul napokkal a felvételek kezdete után...
Különösen igaz ez akkor, ha az ember szeret reggelente egy gyors agytornával indítani a napot, és a Quordle, a Wordle egyik legnépszerűbb alternatívája, hétről hétre próbára teszi a szókirakók hadát...
🌊 A szerteágazó tengeráramlatok az Atlanti-óceán északi féltekén döntő szerepet töltenek be a klímánk szabályozásában, az élet fenntartásában és az élelmiszer-termelésben...
A Samsung Galaxy A57 bemutatkozása a megfizethető Android telefonok piacán igazi meglepetést okozott, és külsőre simán felveszi a versenyt a csúcskategóriás készülékekkel is...
A legendás tengeri kaland visszatér Július 9-én végre visszatérhetünk minden idők egyik legkedveltebb Assassin’s Creed-epizódjához: a Black Flag újjászületett változatával...
A hagyományos londoni maraton idén is a hosszútávfutás igazi ünnepévé válik: 2026-ban több mint 59 000 résztvevő rajtol Greenwichből, hogy 42,195 km-t (26,2 mérföld) tegyen meg a belvároson keresztül, a híres Cutty Sark mellett egészen a The Mallig...
Fontos kérdés, hogy miként lehet egy olyan szürreális, kultikus animéhez, mint az Evangelion (Neon Genesis Evangelion), társítani a világszerte népszerű Final Fantasy XIV-et, mégis ez történik hamarosan...
⚠️ Egy sikeres kibertámadás során több mint 13 000 Palo Alto-eszköz került a támadók kezébe, akik távoli adminisztrátori, majd rootjogokat szereztek jelszó nélkül...
🔎 Különösen igaz ez akkor, ha újságcikkeket olvasol egy olyan, magát függetlennek beállító hírportálon, amelynek újságírói és szerkesztősége gyakorlatilag nem létezik...
A kínai DeepSeek nevű MI-vállalat újra felforgatta a mesterségesintelligencia-piacot. Legújabb fejlesztésük, a DeepSeek-V4, elképesztő teljesítményt, de töredékáron kínál, és ezzel komolyan feladja a leckét a nagy amerikai versenytársaknak...
🌊 A Colorado folyóra támaszkodó nagyvárosok, mint Phoenix és Las Vegas, az utóbbi évtizedekben hatalmas lépéseket tettek a vízfogyasztás visszaszorítására, mégis egyre súlyosbodó vízhiánnyal néznek szembe...
Erős nap a történelemben: a Ming-dinasztia utolsó császárának öngyilkossága, a Suez-csatorna építésének kezdete és az Egyesült Államok hadüzenete Spanyolországnak mind ezen a napon történt...
Az Egyesült Államokban jelentősen felgyorsítják három, mentális betegségek kezelésére szánt pszichedelikus szer engedélyezési eljárását – köztük olyanokét is, amelyek a depresszió nehezen kezelhető formáira kínálnak potenciális megoldást...
Oroszország egy újabb lépésként a VPN-használatot adóztatná meg, de a bevezetés május 1-i határideje könnyen csúszhat – a legnagyobb szolgáltatók szerint egyszerűen lehetetlen időben kiépíteni a rendszert...
🤖 Érdekes felvetés, hogy ma már a vállalatok 85 százaléka futtat MI-ügynökökre épülő pilotprojekteket, mégis mindössze 5 százalékuk bízik meg annyira ezekben a rendszerekben, hogy éles környezetben is bevesse őket...
⚠️ Egy független kutató, Giancarlo Lelli, történelmet írt: nyilvánosan hozzáférhető kvantumszámítógépen sikerült feltörnie egy elliptikus görbéhez tartozó 15 bites kulcsot...