A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
🚗 A Ford már több mint 5 000 autószerelői állást kínál, miközben akár évi 43 millió forintot is kereshet az, aki elvállalja a munkát – mégsem jelentkezik elég ember...
⚠ 2025-ben az internet számtalan kihívással nézett szembe világszerte. A Cloudflare éves összefoglalója szerint több mint 180 jelentős leállás történt, amelyek minden kontinens szolgáltatásait érintették, rámutatva arra, mennyire sérülékeny maradt a globális hálózat – akár fejlett, akár fejlődő országról volt szó...
⚡ Elektrokémiai eszközök belsejében az erős elektromos terek olyan mértékben változtatják meg a vízmolekulák viselkedését, amely alapjaiban új megközelítést igényel...
🚀 Elon Musk cége, a SpaceX engedélyt kért egymillió műhold Föld körüli pályára állítására, hogy kiszolgálja a mesterséges intelligencia számításigényét...
Fontos kérdés, hogy bízhatnak-e továbbra is az európai vállalatok a tengerentúli, amerikai felhőszolgáltatókban – főként, amikor a digitális szuverenitás kérdése egyre hangsúlyosabbá válik...
🚶 Az Apple Watch egyre komolyabb szerepet játszik az egészségfigyelésben, hiszen az egyszerű fitneszfunkciókon túl már orvosilag is fontos adatokat kínál – például gyors értesítéseket a vérnyomásodat érintő hosszú távú változásokról...
A tokenizált részvények piaca látványos növekedést mutat, és most új lendületet kaphat azzal, hogy a New York-i Értéktőzsde (New York Stock Exchange, NYSE) és a Nasdaq is tervezi az éjjel-nappali, a hét minden napján zajló kereskedést...
🕵 Több mint 43 ezer évvel ezelőtt a neandervölgyiek évszázadokon át szarvas- és más agancsos állatok koponyáit gyűjtötték egy spanyolországi barlangban, amelyről most kiderült, hogy jóval összetettebb kulturális szokásokat tükröz, mint korábban gondolták...
🔍 Az Apple nemrég bemutatta az AirTag második generációját, fejlettebb hatótávval, hangosabb csengővel, nagyobb biztonsággal, de ugyanazzal a formával, mint korábban...
Az OnlyFans, a világszerte ismert felnőtt tartalomszolgáltató platform fontolgatja, hogy eladja a cég többségi tulajdonrészét az Architect Capital nevű befektetési cégnek...
A Sundance Filmfesztiválon bemutatott Szellem a gépben (Ghost in the Machine) dokumentumfilm kemény állítást fogalmaz meg: a mesterséges intelligencia terjedése és maga a Szilícium-völgy eugenikai (fajnemesítési) gyökerekből táplálkozik...
A legfrissebb jelentés szerint az Apple történetének eddigi legjobb negyedévét produkálta: a cég összbevétele csaknem 1437 milliárd forintot (143,76 milliárd USD) ért el...
Az amerikai űrügynökség, a NASA rendkívüli hangsúlyt fektet az űrhajósok biztonságára, miután a múlt hónapban egy négyfős legénységet kellett idő előtt visszahozni a Nemzetközi Űrállomásról egy ismeretlen eredetű egészségügyi probléma miatt...
😱 Az új év alig kezdődött el, máris két súlyos, kihasznált nulladik napi sérülékenységet kellett befoltoznia az Ivantinak az Endpoint Manager Mobile (EPMM) termékében...
💔 A hollywoodi közösség és rajongók világszerte megrendülten fogadták a hírt, hogy Catherine O’Hara, a komédia egyik legnagyobb alakja 71 évesen elhunyt Los Angeles-i otthonában egy rövid betegség következtében...
A részvénypiac lejtmenete után sok múlik a következő hét óriáscégein. Bár az S&P 500 három napig gyengült, ezek a visszafogott zárások még jót is tehetnek – főleg, ha az előttünk álló gyorsjelentési hullám nagy nevei jól teljesítenek...
A brit vasút történetében új korszak kezdődik: London nyugati részén elindul az első olyan vonat, amely kizárólag akkumulátorral üzemel, és rekordgyorsasággal, mindössze három és fél perc alatt feltölthető...
