A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
📦 Továbbá megemlíthető, hogy a vállalati információ-visszakeresésben eddig megszokott módszerek – ahol egyszerű szövegfeldolgozóval alakítják át a weboldalakat vagy dokumentumokat szöveggé – komoly hátrányokkal járnak...
Az ízületi porckopás világszerte emberek millióinak életét keseríti meg: a mozgás fájdalmassá válik, a hétköznapi tevékenységek is nehézzé, küzdelmessé lesznek...
💫 Továbbra is kevesen gondolnának arra, hogy egy rövid távú, alacsony kalóriatartalmú diéta nemcsak a testsúlycsökkentésben lehet hasznos, hanem az íny gyulladásának csökkentésében is komoly szerepet játszhat...
Elon Musk legendás vállalata, a SpaceX lenyűgöző startot vett a Nasdaqon: a részvények már a nyitány után 20%-kal drágultak, 162 dollárig emelkedtek, miután az elsődleges részvénykibocsátási árat 135 dolláron állapították meg...
🔥 Az elmúlt hetekben felröppent a hír, hogy az Asus legújabb, elvileg minden olvadási problémát megszüntető grafikuskártya-kábele – a ROG Equalizer – szintén megadta magát, méghozzá látványosan...
💸 A világhírű VanEck vagyonkezelő új, Nasdaqon jegyzett BNB ETF-jével mostantól bárki egyszerűen fektethet a Binance Coinba hagyományos brókerszámlán keresztül...
🖤 Lényeges, hogy a 25 éves klasszikus szerepjáték újjáélesztett verziója, a Gothic Remake, elképesztő rajttal már egy hét alatt elérte az 500 000 eladott példányt...
💸 Az USA nem kevesebb mint 730 milliárd forintot fektet be a kvantumszámítógépek fejlesztésébe, miközben a másik oldalon, a védelem oldalán veszélyesen lelassult az innováció...
Megemlíthető továbbá, hogy Toronto péntek este igazi futballünnepet ígér, hiszen a 2026-os labdarúgó-világbajnokság egyik házigazdája, Kanada Bosznia és Hercegovina ellen kezdi meg szereplését a B csoport nyitómeccsén...
🎧 Justin Bieber legújabb fejlesztéseivel rukkolt elő saját lifestyle márkája, a SKYLRK égisze alatt, ahol most két vadonatúj Bluetooth hangszóró és egy vezeték nélküli fejhallgató jelentek meg...
📈 Az amerikai pénzpiacokon újra fellángolt a vita: vajon hogyan is kellene szabályozni a kriptovaluta-befektetések egyik legnépszerűbb termékét, az örökös (perpetual) szerződést?..
💧 Egészen új távlatok nyíltak meg az ipari víztisztítás és a vegyszerek leválasztásának jövőjében, miután kutatók egy hihetetlenül pontos, egy nanométeres pórusokkal rendelkező membránt fejlesztettek ki...
A Resident Evil Veronica bejelentése után szinte pillanatok alatt tarolt: kevesebb mint egy hét alatt egymillió kívánságlistára került PlayStation 5-ön és PC-n is...
Az Ascension 10 teljesítése a Slay the Spire 2-ben nem tökéletes pakliépítésen múlik, hanem azon, hogy mennyire gyorsan és hatékonyan tudod megszüntetni a kezdőpaklid gyengeségeit...
🚀 Egy lényeges szempont, hogy hónapok várakozása után ma megkezdődik a SpaceX részvényének kereskedése a Nasdaqon, miután a befektetők 75 milliárd dollárt – azaz közel 27 000 milliárd forintot – öntöttek a valaha volt legnagyobb tőzsdei bevezetésbe...
🔥 A 81 éves James Handy, akit a Top Gun: Maverick (Top Gun: Maverick) című filmben is láthattunk, brutális támadás áldozata lett Los Angeles-i otthonában...
😱 Ez a jelenség jól illusztrálható azzal, hogy minden szerverteremben ott lapulnak a kis alumínium-, réz- és kerámiadobozkák, amelyek egészen emberi tulajdonságokat hordoznak – legalábbis amikor úgy viselkednek, mint egy sértődött munkatárs: ha rájuk ordítasz, lelassulnak...
