A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
⚡ Például egy váratlan áramszünet akár csak néhány percig is tarthat, mégis komoly fejfájást okozhat otthonodban – különösen, ha a hűtőd tartalma megromlik, vagy ha online dolgozol...
Fontos kérdés, hogy mennyire lehet még megbízhatónak tartani a modern böngészőket, amikor naponta tízezrek tapasztalják, hogy váratlanul lefagy a Firefox...
A mesterséges intelligencia fejlődése robbanásszerűen átalakította a mindennapokat: emberek milliói fordulnak chatbotokhoz tanácsért, érzelmi támaszért vagy egyszerű beszélgetésért...
Képzeld el, hogy van egy kisméretű, könnyen hordozható projektorod, amin azonnal elindulnak a kedvenc műsoraid, filmjeid, és mindent megkap, amit a Roku kínál...
💤 A visszatérő fülzúgás, vagyis tinnitus sokak mindennapjait keseríti meg: a tartós csengés, sistergés, zümmögés vagy kattogás éjjel-nappal jelen lehet, és csak az érintett hallja...
🚀 A Corvette ZR1X hibriddel a Chevy feltör, mint a talajvíz, és csúnyán rácáfol arra, amit hinni szerettünk volna az elektromos sportautók temetése kapcsán: hogy a jövő a tisztán elektromosé...
Na tessék: az xAI vad próbálkozással akarta megállítani azt az új kaliforniai törvényt, amely mostantól kötelezi az MI-fejlesztőket, hogy nyilvánosan írják le, milyen adatokat tömnek a modelleikbe...
Szóval, képzeld el, tényleg turbófokozatra kapcsoltunk a bolygó klímájának fűtésében. Egyszerűen pörög a globális melegedés: a kutatók most kimutatták, hogy nagyjából 0,35 Celsius-fokkal melegszik a Föld évtizedenként – ráadásul az elmúlt 10 évben!..
Itt a legfrissebb űrhír, amitől ki lehet ugrani a bőrödből: a 2024 YR4 nevű aszteroida tavaly olyan pánikot keltett, mint amikor a szomszéd kihívja rád a rendőröket, mert túl hangosan bulizol...
🕵 Felmerül a kérdés, hogy mennyire lehet megbízni a vészhelyzeti értesítésekben, amikor egyre kifinomultabb kémprogramok fenyegetik az okostelefonokat...
🚀 2022 szeptemberében a NASA egy különleges kísérletbe fogott: egy 570 kilogrammos, 22 530 km/órával haladó űrszondát frontálisan nekivezette a Dimorphos nevű kisbolygónak...
🤖 Ahogy a modern MI-modellek egyre okosabbak és sokoldalúbbak lesznek, nem elég csak a mesterséges intelligencia fejlődésére építeni – a köré épített eszközöket, úgynevezett harnesseket is fejleszteni kell...
Az indiai fejlesztésű Sarvam 30B és Sarvam 105B nagy nyelvi modellek nyílt forráskódúvá váltak, ami alaposan felborította az eddigi elképzeléseket arról, mire képesek a helyi fejlesztésű MI-rendszerek...
🔒 Az üzleti világ digitális átalakulása egyre gyorsabb tempót diktál. A munka már nem egyetlen hálózaton vagy irodán belül zajlik, hanem bármilyen végpontról – legyen az laptop, mobil vagy böngésző – és mindenféle szoftveren, például SaaS-alkalmazásokban...
Az utóbbi hónapokban több amerikai iPhone-tulajdonos vette észre, hogy a korábban gond nélkül letölthető kínai alkalmazásokat most már nem tudják elérni akkor sem, ha kínai App Store-fiókkal próbálkoznak...
💉 A TriZetto Provider Solutions, az egészségügyi informatikai szektor egyik nagy szereplője, jelentős adatszivárgás áldozata lett, amelynek során több mint 3,4 millió páciens személyes adata került veszélybe...
💰 Egyre többen kényszerülnek életük elsődleges pénzügyi tartalékához, a 401(k)-hez (amerikai nyugdíjmegtakarítási számla) nyúlni, amikor sürget a baj...
💸 A kriptopiac pénteki reménykeltő megugrása után szombatra újra beköszöntött a hullámvasút: a bitcoin árfolyama 3,4%-kal esett vissza, így ismét 68 000 dollár, azaz körülbelül 25,3 millió forint alá süllyedt...
Az eddig időigényes Microsoft 365 Backup hamarosan olyan frissítést kap, amely lehetővé teszi az adminisztrátorok számára, hogy ne csak teljes SharePoint- vagy OneDrive-helyeket, hanem egyes fájlokat és mappákat is visszaállítsanak...
📺 Első pillantásra úgy tűnt, hogy a GoPro Lit Hero lehet az eddigi legizgalmasabb akciókamera a márka kínálatában: kicsi, könnyű, szinte bárhová magaddal viheted, legyen szó nyaralásról vagy olyan helyről, ahol egy nagyobb fényképezőgéppel feltűnősködnél...
