A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
🔒 Az Európai Unió nemrég bemutatta saját online életkor‑ellenőrző mobilalkalmazását, amellyel a tervek szerint a gyermekeket akarják védeni a közösségi médiától és a felnőtt tartalmaktól...
Jellemző példa, hogy a bélmozgás sebessége – vagyis az, hogy a szervezetünk milyen gyorsan szabadul meg a salakanyagoktól – jóval többet elárulhat az egészségünkről, mint gondolnánk...
A Zoom mostantól egészen új szintre emeli a biztonságot: partnerséget kötött Sam Altman íriszszkennelésre épülő startupjával (korábban Worldcoin néven futott), aminek köszönhetően élőben is ellenőrizhető lesz, hogy valódi ember ül-e a cégtalálkozón, vagy valami sunyi AI-avatár próbál belépni...
📷 A Samsung jelentős frissítést adott ki a Galaxy Enhance-X alkalmazáshoz, amely teljesen új külsőt és rengeteg friss szerkesztési funkciót hozott magával...
😱 A Claude Desktop telepítésekor az Anthropic engedély nélkül rejt el egy natív kémprogram-hidat a gépeden, amely minden Chromium-alapú böngészőt érinthet...
David Gross, a világhírű Nobel-díjas fizikus szerint az emberiség túlélése drámaian bizonytalanná vált: jó eséllyel már csak néhány évtized van hátra civilizációnk számára...
A Nemzeti Szabványügyi és Technológiai Intézet úgy döntött, felhagy az alacsonyabb prioritású sérülékenységek súlyossági pontszámainak megállapításával...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Monthly Dystopia (iPhone/iPad)A Monthly Dystopia egy túlélő játék, amelyet George Orwell 1984 című műve inspirált...
🖰 Az AI-k világában már nem csak emberek lehetnek átverés áldozatai: a mesterséges intelligenciák is csúnyán pofára eshetnek, ha valaki elég ügyesen csavarja a kérdéseket...
💡 Az egyedüllét érzése mindannyiunkkal megesik, és ugyan természetes emberi érzelem, mégis képes alattomosan befolyásolni gondolkodásunkat, memóriánkat...
💸 A decentralizált pénzügyi szektorban (DeFi) komoly felfordulást okozott az év eddigi legnagyobb hackje, amely során közel 108 milliárd forintnak megfelelő értékű kriptovalutát tulajdonítottak el...
Érdemes megérteni, hogy a népszerű felhőalapú fejlesztői platformot, a Vercelt jelentős biztonsági incidens érte, melynek során egyes ügyfelek adatai veszélybe kerültek...
Tipikus eset, amikor egy világraszóló felfedezőút lassan lezárul. A Voyager 1, amely 49 éve szeli az űrt, mostanra elérte élettartama határát: energiaforrása, a plutóniumalapú termoelektromos generátor évről évre körülbelül 4 wattal kevesebb teljesítményt ad le, és már nincs napelem, sem újratölthető akkumulátor, amely segítene...
A Blue Origin legújabb, harmadszor repülő New Glenn rakétája megint nagyot szólt, de valahogy mégiscsak a partvonalról nézheti a diadalt: a második fokozat műszaki hibája miatt a fedélzeten lévő BlueBird 7 műhold menthetetlen pályán rekedt, vagyis el is búcsúzhatunk tőle – a biztosító viszont fizetni fog, ami azért enyhíti a csapást...
A Northwestern Egyetem kutatói áttörést értek el a fenntartható energiaellátásban: olyan tüzelőanyagcellát fejlesztettek ki, amelynek működését a talajban élő mikroorganizmusok biztosítják...
🚨 Az elmúlt napokban többen kaptak olyan e-maileket, amelyek Apple-fiók módosításáról szóló hivatalos értesítésnek tűnnek, valójában azonban adathalász csalási kísérletek...
Érdemes megvizsgálni, hogy a OnePlus hamarosan bemutatkozó Ace 6 Ultra készüléke nem egyszerűen egy csúcsmobil lesz, hanem kifejezetten játékosoknak tervezett kézi játékkonzollá is alakítható...
👀 Érdekes fordulat, hogy az amerikai Nemzetbiztonsági Ügynökség (NSA) pillanatok alatt rácsapott az Anthropic új mesterségesintelligencia-modelljére, a Mythos Preview-ra, annak ellenére, hogy nem is olyan régen még nyílt háború dúlt a cég és a Pentagon között...
