A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
A legújabb Edge-frissítés minden eddiginél komolyabb változást hozott. A Microsoft leállította a Copilot módot, ehelyett külön MI-alapú funkciókat vezetett be, amelyek közvetlenül a böngészőbe épülnek...
Egy lényeges szempont, hogy a YouTube teljesen új szemszögből közelít a tévézéshez: már nemcsak videónézésre használhatod az alkalmazást, hanem akár azonnali vásárlásra is, mindezt a saját tévéd képernyőjén...
🔈 A Xiaomi néhány látványos grafikával és a Vadonatúj forma (Brand new form) szlogennel jelentette be, hogy hamarosan piacra dobja első csíptetős, nyitott fülhallgatóját...
Több mint száz éve tartó kutatások után váratlan fordulatot hozott a DAMPE (Dark Matter Particle Explorer) űrtávcső, amelynek legújabb megfigyelései végre áttörést jelenthetnek a kozmikus sugárzás eredetéről szóló rejtély megoldásában...
A Control című játék világa már első pillantásra lenyűgöző: monumentális, letisztultan szürreális környezet, amely első blikkre egy metroidvania-játék benyomását kelti...
🚀 Érdemes megérteni, miért mozdult meg hirtelen a blokkláncvilág: a Kraken, az egyik vezető kriptopénz-tőzsde több milliárd dollárnyi kriptoeszközt mozgat át a LayerZero rendszeréről a Chainlink CCIP-re...
🏎 Ilyen eset például, amikor valaki egy alaposan tuningolt kei teherautóval száguld át Tokió szívében, Shibuya zebráin, miközben Babymetal dübörög az autó hangrendszerén – nehéz nem beleszeretni ebbe az autós fantáziavilágba...
Az AOC vadonatúj, 34 colos gaming monitora jelentősen olcsóbban kínálja ugyanazt a látványos kijelzőtechnológiát, amelyet sokan a kategória kedvencei közé tartozó ultrawide modellektől megszokhattunk...
📷 Az Insta360 új ötletével szó szerint visszarepül az időben: megérkezett a vállalat szenzációsan apró Go 3S kamerájának „Retro csomag” (Retro Bundle) kiadása...
Az otthon tisztán tartása, különösen szőrös háziállatok mellett, igazi kihívás. A folyamatos porszívózás és légszűrő-tisztítás időrabló, a szűrők pillanatok alatt eldugulnak...
💵 A Strive SATA részvénye június 16-tól minden munkanapon készpénzosztalékot fizet a befektetőknek, amire eddig egyetlen amerikai tőzsdén jegyzett értékpapír sem vállalkozott...
🎥 Különösen említést érdemel, hogy a Nintendo váratlanul előrehozta a várva várt élőszereplős A Zelda legendája (The Legend of Zelda) film bemutatóját, így az a tervezettnél korábban kerül a mozikba...
Egy újabb sikeres évet tudhat maga mögött a Capcom, amely nemrég jelentette meg legújabb játékát, és sorozatban tizenegyedik éve ér el 10%-ot meghaladó üzemi nyereségnövekedést...
A második világháború végének hajnalán, 1945 júliusában az amerikai hadsereg és a tudósok felrobbantották a világ első atombombáját Új-Mexikó sivatagában...
Senki sem várta volna, hogy Donald Trump hivatalos mémcoinja, a TRUMP-token, nagyot ugrik a népszerűsége attól, hogy végre elindul a Trump Mobile telefonjának, a T1-nek a kiszállítása...
🏀 Május 14-én, amerikai idő szerint 21 órakor indul az ötödik évad, amelyet az Egyesült Államokban az FXX, a világ többi részén pedig a Disney+ sugározza...
A kínai szerencsepálma (Pilea peperomioides) hosszú ideje népszerű szobanövény, de most újabb izgalmas titokra derült fény: a növény levelei magukban hordoznak egy rendkívül kifinomult, természetes geometriai rendszert, amellyel eddig főleg az informatikában, hálózatok tervezésében vagy a várostervezésben találkozhattunk...
🌓 Felmerül a kérdés, hogy miközben a Föld felszíne folyamatosan melegszik, bolygónk felsőbb légkörei éppen ellenkező irányba változnak: gyorsan hűlnek...
