A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
A Fortinet legújabb, kritikus sebezhetősége lehetőséget adott támadóknak, hogy az érintett FortiCloud SSO (Single Sign-On) hitelesítési rendszer hibáját kihasználva adminisztrátori jogokat szerezzenek más ügyfelek eszközei felett – még akkor is, ha azok a korábbi hibákra készült javításokat már telepítették...
Az Android készülékeken tárolt személyes, gyakran bizalmas adatok – bankszámlaadatok, fotók, jelszavak – miatt egy lopott telefon komoly problémát okozhat...
Felmerül a kérdés, hogy miként változott meg az Egyesült Államok űrstratégiája azóta, hogy az Apollo–13 1970-ben körberepülte a Holdat, és több mint százmillióan követték valós időben az eseményeket...
📹 Egyre több jel árulkodik arról, hogy a Spotify végre javítani akar a zenei videók élményén, mégpedig oly módon, ahogyan a YouTube már évekkel ezelőtt megtette...
A nemrég nyilvánosságra hozott bírósági dokumentumok felfedték, hogy az Anthropic cég egy „Panama Projekt” nevű művelet keretében több százezer, akár millió könyvet vásárolt fel, hogy azok gerincét levágva, a lapokat beszkennelve tanítsák be MI-chatbotjukat, a Claude-ot...
A tengeri halászat fenntarthatósága világszerte kiemelt jelentőségű, hiszen ez a szektor alapvető élelmiszerforrást, munkahelyeket és megélhetést nyújt emberek millióinak, miközben kulcsszerepet játszik a tengeri ökoszisztémák megőrzésében is...
🤔 Az asztma kialakulásának okait évtizedeken át a leukotriének nevű molekulák számlájára írták, melyeket az immunrendszer fehérvérsejtjei szabadítanak fel, ha a légutak irritációnak vagy allergéneknek vannak kitéve...
🛠 Az Európai Bizottság lépéseket tett, hogy a Google betartsa a Digitális piacokról szóló törvényt (Digital Markets Act, DMA), és ne részesítse előnyben a saját szolgáltatásait...
🔒 A Nike nagyszabású adatlopási botrányba keveredett, miután a World Leaks nevű zsarolóvírus-csoport 1,4 TB-nyi adatot szivárogtatott ki: állításuk szerint a sportóriástól lopták el mintegy 190 000 fájlt...
A várva várt Samsung Galaxy Z TriFold végre megjelenik az Egyesült Államokban, méghozzá a pletykált februári bemutató előtt: január 30-tól már meg is vásárolható lesz...
Nehéz elhinni, de a vállalati világot ismét elárasztotta az optimizmus. Az igazgatótanácsok folyosóin egymást érik a forradalmi átalakulásokról szóló beszélgetések, a költségvetések pedig folyamatosan nőnek, hogy helyet adjanak a legújabb platformoknak és MI-asszisztenseknek...
Ma már mindennapos, hogy órákat töltünk a telefonunk előtt. Nem ritka a napi három óra feletti okostelefon-használat, és sok felnőttnél a képernyőidő a hat órát is eléri...
🚗 Érdemes megvizsgálni, hogy az Egyesült Államok Közlekedési Minisztériuma (DOT) merész lépésre szánta el magát: a különféle közlekedésbiztonsági szabályokat, amelyek repülőgépek, autók és csővezetékek biztonságát garantálják, most már MI-vel is készítik...
🔭 Hosszú ideje tartotta magát az a nézet, hogy a Stonehenge hatalmas kövei, különösen a híres „kék kövek” gleccserek segítségével kerültek jelenlegi helyükre...
Kezdetben a vállalatok tömegesen kezdték el tesztelni a generatív MI-t, de az érzékeny adatokkal dolgozó szektorokban – különösen a jogi területen – folyamatosan előtérbe került a magánszféra védelme, a biztonság és a megfelelőség kérdése...
A gonosznak nincs nyugta (No Rest for the Wicked), a Moon Studios legújabb, brutálisan véres és precíz akció-RPG-je villámgyorsan népszerűvé vált a Steamen, messze maga mögé utasítva más sikerjátékokat, például az Ív lovasai (Arc Riders) játékot...
