A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
A modern okostelefonok egyre fejlettebb biztonsági védelemmel rendelkeznek, mégis éppen ott sérülékenyek, ahol a legkevésbé számítanánk: a modem szoftverében...
💸 Például könnyen elképzelhető, hogy a jövőben egy alkalmazás automatikusan elintézi helyetted a repülőjegy-foglalást, vagy újrarendeli a papírtörlőt, amikor elfogy...
Lényeges szempont, hogy a DJI Osmo Pocket sorozat eddig is a vloggerek kedvence volt, köszönhetően kiváló teljesítményének és zsebméretű kialakításának...
A holland központú Basic-Fit, Európa legnagyobb fitneszterem-lánca, kibertámadás áldozatává vált: hackerek bejutottak a cég rendszerébe, és közel egymillió tagról szereztek bizalmas adatokat...
💫 Egy lényeges szempont, hogy a fizikában eddig elképzelhetetlennek számított, hogy bármi is gyorsabb lehet a fénynél – most azonban a tudósok mégis észleltek valamit, ami látszólag átlépi ezt a kozmikus sebességhatárt...
Hihetetlen, de igaz: a texasi hatóságok épp akkor csaptak le egy 20 éves férfi otthonára, amikor azzal is vádolták, hogy Molotov-koktélos támadást intézett Sam Altman, az OpenAI vezérigazgatója San Franciscó-i otthona ellen...
💀 A San Francisco-öböl a szürke bálnák számára halálos útvonallá vált: az éhes állatok egyre gyakrabban keresik fel a forgalmas vizeket, sokan közülük azonban nem élik túl a kalandot...
💯 Michael Cotter egyetlen problémával szembesült: a technikai ügyfélszolgálati cégénél, a Tech Live Connectnél túl magasak lettek a visszaterhelések...
Áprilisban a Hold nemcsak a megszokott ragyogásával hívja fel magára a figyelmet: ebben az időszakban gyakrabban figyelhető meg a ritka és misztikus földfény (earthshine) is...
😭 Jellemző példa erre, hogy az egykor a programozók kedvencévé vált, az Anthropichoz köthető Claude mostanra egyre több kritikát kap mind a költségek, mind a minőség terén...
🐶 Míg a kriptopiac kicsit bizonytalanul egyensúlyoz, a Dogecoin kifejezetten erősen muzsikál: szépen kapaszkodik felfelé, és egészen meggyőző, hogy most végre nem fullad ki az emelkedés, hanem tartja a szintet...
Ezen a napon koronázások, háborúk és sorsfordító döntések formálták a világot: a lengyel államiság keresztény alapokra állt, a Khalsa létrejött, a spanyol monarchiát köztársaság váltotta, miközben a Titanic jéghegynek ütközött...
Kezdetben mindennapjainkat és gazdasági döntéseinket digitális platformok uralták. Az online tevékenységek bővülésével egyre inkább ezekre a szolgáltatókra támaszkodtunk, legyen szó arról, hogy keresünk a Google-ben, üzenetet váltunk WhatsAppon, videókat nézünk a YouTube-on, kapcsolatot tartunk az Instagramon, vagy vásárolunk az Amazonon...
Képzeld el, hogy egy fontos céges kérdéssel fordulsz a vezérhez, várva a személyes, motiváló választ – aztán kiderül, hogy „Mark Zuckerberg” valójában csak egy mesterien kiképzett MI-klón, amely a vezér minden gesztusát, hangszínét, múltbeli nyilatkozatát, sőt a céges stratégiához fűzött gondolatait is tökéletesen utánozza...
