A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
🚀 Érdemes megvizsgálni, miként járul hozzá a NASA Artemis II holdmissziója az űrutazások jövőjéhez, nemcsak a hosszú távú küldetések tervezésekor, hanem az űrorvostan fejlődéséhez is...
🚀 Elon Musk újabb húzása minden képzeletet felülmúl: aki a SpaceX tőzsdei bevezetésében (IPO) szeretne részt venni, annak kötelező előfizetnie a Grokra – igen, arra a mesterséges intelligenciára, amelyet már most szuperalkalmazásként tolnak a nagyvilágba...
Felmerül a kérdés, hogy a NASA legújabb Artemis II-küldetésén részt vevő űrhajósai egy újabb rendkívüli látványosság részesei lehetnek-e: akár egy üstököst is megpillanthatnak az Orion-kapszula ablakából, ha a C/2026 A1 (MAPS) nevű üstökösjelölt túléli a forró találkozását a Nappal...
🤔 Az emberek jelentős része könnyedén átadja a logikus gondolkodás feletti irányítást az MI-nek, gyakran anélkül, hogy megkérdőjelezné a látott válaszok helyességét...
A németországi baloldali Die Linke pártot zsarolóvírus-támadás érte, amely során a Qilin nevű csoport adatokat lopott el a párttól, majd azok nyilvánosságra hozatalával fenyegetett...
A gyermekek online védelme még sosem volt ilyen nehéz feladat. Megjelentek ugyanis az MI által generált, gyermekek szexuális bántalmazását ábrázoló tartalmak, amelyek mennyisége egyetlen év alatt példátlan növekedést mutatott...
Fidji Simo, az OpenAI termék- és üzleti igazgatója pénteken több jelentős szervezeti változást jelentett be, és közölte, hogy hosszabb egészségügyi szabadságra megy...
Különös évfordulók egy napba sűrítve: a brit trón visszaállítását előkészítő Declaration of Breda (Bredai nyilatkozat), Napóleon első lemondása, Martin Luther King Jr...
Az amerikai Hims & Hers telemedicinás cég nemrég feltárt kibertámadást szenvedett el, amelynek során támadók illetéktelenül hozzáfértek az ügyfélszolgálatának rendszeréhez, és bizalmas személyes információkat loptak el...
Oké, kapaszkodj, mert a pitonok tényleg mindent visznek! Ezek a brutál nagy hüllők nemcsak hogy egészben lenyelik a zsákmányt, hanem utána hónapokig, sőt akár évekig is kibírják étel nélkül – és közben sem gyengülnek le, sőt, csúcsformában maradnak...
🚀 Az OpenAI váratlan lépést tett: felvásárolta a TBPN (Technology Business Programming Network) technológiai talk show-t, amely rövid idő alatt népszerűvé vált a Szilícium-völgyben...
Néhány nap alatt minden készlet elfogyott a Back Market és a Google legújabb, előretelepített ChromeOS Flex rendszert tartalmazó USB-kulcsaiból, pedig ezek az eszközök alig 1100 Ft-ba kerültek...
Most őszintén: észrevetted már, mennyi pénzt vonzanak az extrém kalandok? Az Everest idén sem úszta meg a botrányt: a nepáli hatóságok szerint egy hatalmas, 7 milliárd forintos (20 millió dolláros) mentési biztosítási csalást göngyölítettek fel, amibe túravezetők, egy mentőcég és fővárosi kórházak is alaposan belebonyolódtak...
A CorelDRAW Graphics Suite 2026 merész lépésekkel újít: a legmodernebb MI-alapú eszközöket integrálja díjnyertes kreatív szoftvercsomagjába, miközben továbbra is teljes értékű, egyszeri vásárlási lehetőséget kínál – ritka madár ez manapság...
Csak hogy tiszta legyen: már a poharadban is ott úszik a rengeteg apró műanyag és gyógyszermaradvány, az amerikai környezetvédelmi hatóság pedig végre lépett...
Felmerül a kérdés, hogy mennyire befolyásolja mindennapjainkat az okostelefon-használat. Sokan tapasztalják, hogy bármelyik szabad percben automatikusan a készülék után nyúlnak, hogy görgessenek egyet X-en, Instagramon vagy Threadsön...
