A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Ez a jelenség jól illusztrálható azzal, hogy a Microsoft szélesebb körben vezeti be a Windows 11-ben a személyes beállítások és a Microsoft Store-alkalmazások visszaállításának lehetőségét vállalati felhasználók számára...
🙌 Az Elon Musk által vezetett xAI nagy reményekkel indított pert az OpenAI ellen, azt állítva, hogy a rivális mesterségesintelligencia-fejlesztő cég jogtalanul csábított át nyolc xAI-munkatársat, hogy hozzájusson a vállalat adatközpontjaihoz és a Grok nevű chatbotjához kapcsolódó üzleti titkokhoz...
🚨 Az Instagram hamarosan értesítést küld a szülőknek, ha gyermekük ismételten öngyilkossággal vagy önsértéssel kapcsolatos kifejezésekre keres rá az alkalmazásban...
A brit Rolls-Royce óriási lendületet vett, miután jelentős működési nyereséget és részvény-visszavásárlást jelentett be az egyre növekvő hajtóműigényeknek köszönhetően...
Tipikus eset, amikor egy fejlesztőcsapat nagy lendülettel veti bele magát a közös munkába, majd váratlanul kiderül, hogy a folyamatban egy kritikus sebezhetőség lapul...
💪 Különösen igaz ez akkor, ha valaki abban reménykedik, hogy a testmozgás majd jelentősen csökkenti az ízületi kopás, vagyis az oszteoartritisz okozta fájdalmat...
Érdekes felvetés, miszerint az övsömör elleni oltás nemcsak a fájdalmas kiütés megelőzésében lehet hasznos, hanem az öregedés folyamatára is hatással lehet...
Csak két napnyi, kizárólag zabkásából álló étrend már drasztikus eredményt hozhat a szív- és anyagcsere-egészség terén – legalábbis ezt mutatja a Bonni Egyetem nemrégiben a Nature Communications folyóiratban publikált klinikai kísérlete...
👽 A James Webb Űrtávcső megint rátett egy lapáttal: legújabb fotóin egy elképesztően bizarr ködöt mutat be, amit a neve is elárul – a Kitett koponya-köd (Exposed Cranium Nebula)...
🚀 Erre utal többek között az, hogy az AMD röviddel a 2026-os Mobile World Congress előtt leleplezte az EPYC 8005 (kódnéven Sorano) processzorcsaládot, amelyet a távközlési és edge-szerverekre szánt...
👽 Elképesztő, hogy egy sima Substack-bejegyzés ekkora hullámokat vethet a tőzsdén: egy 2028-ra elképzelt, mesterséges intelligencia által előidézett világválságról szóló elemzés a vasárnapi piaci zuhanásokat is elindította...
🚀 A Samsung Galaxy S26-sorozat bemutatkozása nem jelent forradalmat, inkább aprólékos finomhangolásokat és néhány lényeges, helyenként egyedi innovációt hoz – leginkább a prémium Ultra modellnél...
New York állam főügyésze bíróság elé idézte a Valve-ot, mert szerinte a vállalat videojátékai, mint például a Counter-Strike 2, a Team Fortress 2 és a Dota 2 tudatosan ösztönzik a fiatalkorúakat jogellenes szerencsejátékra az úgynevezett loot box-rendszeren keresztül...
Erre utal többek között az, hogy az Apple hamarosan egy új, OLED-kijelzős, érintőképernyős MacBook Pro bemutatására készül, amely megkapja az iPhone-okról ismert Dynamic Island funkciót...
🔴 Egy súlyos biztonsági hiba miatt komoly támadások érték a Cisco Catalyst SD-WAN rendszereket, többek között a felhőben és helyben telepített SD-WAN Controller (korábban vSmart) és SD-WAN Manager (korábban vManage) platformokat...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Auto Redial App (iPhone/iPad)Ez az alkalmazás lehetővé teszi, hogy automatikusan hívásokat indíts a kiválasztott telefonszámokra, hatékonyan és személyre szabottan...
Felmerül a kérdés, hogy hova vezethet az a tempó, ahogy a technológiai óriások öntik a pénzt az MI-infrastruktúrába: idén közel 250 ezermilliárd forint értékben épülnek adatközpontok világszerte, és még mindig nem látszik a vége...
