A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
🚀 Az ikonikus EVE Online fejlesztője jelentős változásokat jelentett be: a korábban CCP Games néven ismert stúdió mostantól Fenris Creations néven működik tovább, miután függetlenedett a Pearl Abysstől, és hosszú távú, izgalmas együttműködést kötött a Google DeepMind csapatával...
🔒 A digitális pénzpiacokon újra fókuszba került az adatvédelem: a Multicoin Capital látványos pozíciót épített a Zcash (ZEC) tokenben, arra számítva, hogy a privát értéktárolás egyre fontosabb lesz, ahogy a pénzügyek tömegesen a blokkláncra költöznek...
⚠ Morrowind nemcsak legendás hangulata, hanem nehézsége miatt is kultjáték: annak különös világának rideg szabályait mindenkinek egyedül kell feltérképeznie...
💰 A kriptopiac mostanában főként a bitcoin árfolyam-emelkedésével foglalkozik, ám a decentralizált pénzügyek terén is lezajlott egy jelentős válság, amely végül csendben, látványos veszteségek nélkül ért véget...
🔒 A DAEMON Tools, amelyet százezrek használnak virtuális meghajtók létrehozására, áldozatul esett egy kifinomult támadásnak: hackerek megfertőzték az eredeti weboldalról letölthető telepítőt...
A pénzügyi szektor egyre határozottabban fordul a blokklánc-technológia felé, a nagy szereplők már nemcsak ismerkednek az új eszközökkel, hanem aktívan fejlesztik is azokat...
Az HBO Max hamarosan több millió régebbi Amazon Fire TV eszközről eltűnik, mivel a platform már csak a Fire OS 6-ot vagy újabb operációs rendszert támogatja...
A mexikóvárosi Japan nevű éjszakai klub hatalmas port kavart az interneten: az amerikaiaknak csaknem 110 ezer forintos (300 dolláros) belépőt kell fizetniük, miközben más külföldieknek mindössze 7 400 forintot (20 dollár), a mexikóiaknak és latin-amerikaiaknak pedig csupán 5 100 forintot (14 dollár) számítanak fel...
💸 A kriptotőzsdék új, vad hulláma indul, ahogy az OKX bejelentette: örökös határidős ügyleteket vezet be olyan magáncégekhez kapcsolódóan, mint az OpenAI, a SpaceX és az Anthropic...
🤖 Az MI fejlesztésének legnagyobb nevei közül hét – köztük az OpenAI, a Google, a Microsoft, az Amazon Web Services, a SpaceX és a Reflection AI – új korszakot nyit a haditechnológiában...
Világszerte egyre nagyobb problémát okoz a műanyaghulladék, hiszen évente több mint 200 millió tonna keletkezik, amelyből elenyésző mennyiség kerül valóban újrahasznosításra...
Újabb mérföldkőhöz érkezett a digitális pénzügyek világa: a Taurus megszerezte a MiFID II befektetési engedélyt Cipruson, a Ciprusi Értékpapír- és Tőzsdefelügyelet jóvoltából...
💉 A részleges meniscectomia évtizedek óta az egyik legelterjedtebb ortopédiai beavatkozás. Ennek során a sérült térd meniszkuszának egy darabját távolítják el, abban a reményben, hogy így enyhülnek a betegek panaszai...
💡 Érdemes megvizsgálni, hogy milyen lehetőségeket kínál a legújabb Onyx Boox Palma 2 Pro, különösen azoknak, akik a hagyományos e-könyv-olvasók helyett valami kompaktabbra és sokoldalúbbra vágynak...
A technológia villámgyors fejlődése ellenére a felhasználók tömegei még mindig bosszankodnak akadozó videók, sikertelen fizetések vagy lefagyó mesterségesintelligencia-asszisztensek miatt...
Egy 240 millió éves, kivételesen jól megőrződött fosszíliát azonosítottak hivatalosan Ausztráliában, amely évtizedeken keresztül rejtőzött egy kertben álló támfal köveiben...
