A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
⚠ Április elején az Anthropic bejelentette legújabb MI-modelljét, Mythos néven. A döntés, hogy a fejlesztést nem engedik szabadon a nagyközönséghez, szinte példátlannak számít a szektorban – legutóbb hasonló lépésre 2019-ben az OpenAI szánta el magát...
Az élelmiszerboltok polcain sorakozó kávékkal szembesülő vásárló könnyen elbizonytalanodhat: vajon nem hagy-e ki valami jobbat a jól megszokott márkák mögött?..
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. PostalCal (iPhone/iPad)A Postal Employee Day Off Calendar egy egyszerű, célzott alkalmazás, amely a USPS postai dolgozók és családtagjaik számára készült...
💻 Amit látunk, az túlmutat a megszokotton: a nagyméretű nyelvi modellek (LLM-ek) üzemeltetése ma már nem csupán jó algoritmusokról szól, hanem komoly hardvertervezési és optimalizálási kérdés is lett...
Erre utal többek között az, hogy a fekete lyukak soha nem tűnnek el teljesen, még akkor sem, ha Hawking sugárzása révén látszólag folyamatosan veszítik tömegüket...
A mesterséges intelligencia fejlesztésének újabb mérföldkövéhez érkeztünk: az Anthropic piacra dobta legújabb, mindenki számára elérhető nagy nyelvi modelljét, a Claude Opus 4...
Észak-Amerika egyes részein különleges látványosság várható ezen a hétvégén: ritkán látható északi fények festik az eget, mindezt egy jelentős, a Nap légkörében, a koronában keletkezett koronalyuknak köszönhetően...
A Bitcoin árfolyama csütörtök délelőtt hirtelen esett vissza, miután sorozatosan kudarcot vallott a 27,5–28 millió forintos (75 000–76 000 USD) árfolyamszint áttörésében...
Erre utal többek között az, hogy az IBM 6 milliárd forint (17 millió dollár) összegben kötött megállapodást egy, a sokszínűség, esélyegyenlőség és befogadás (DEI) programjai miatt indult vizsgálat ügyében...
🥗 Ami először apróságnak tűnt, most áttörésnek számít a tudósok szerint: egy természetes hormon, az FGF21 képes visszafordítani az elhízást egerekben...
Az egyik legnépszerűbb online játékplatform, a Roblox összesen több mint 4,4 milliárd forintot (12 millió USD) fizet, és új biztonsági intézkedéseket vezet be, miután Nevadában per elé került a gyermekvédelem hiányosságai miatt...
Felmerül a kérdés, meddig vagyunk biztonságban a digitális világban: Mexikó történetének egyik legsúlyosabb kiberbiztonsági támadását egy maroknyi hacker hajtotta végre mesterséges intelligencia segítségével...
Élvezetes újítás érkezett az Opera böngészőhöz, aminek garantáltan örülni fognak azok, akik imádják a mesterséges intelligenciával felturbózott netezést...
💸 Egy trükkös módszerrel teljesen zárolt iPhone-ról sikerült 4 millió forintot ellopni, ráadásul anélkül, hogy a tulajdonos bármi gyanúsat észrevett volna...
Egy most felfedezett kártevő, a ZionSiphon kifejezetten az ipari vezérlőrendszerek ellen készült, és víztisztító- és sótalanító üzemek működését fenyegeti...
⚡ A Mozilla legújabb fejlesztéseként bemutatta a Thunderbolt MI-klienst, amely lehetővé teszi, hogy magánszemélyek és vállalkozások saját, helyben futó MI-infrastruktúrát építsenek ki, teljesen függetlenül felhőalapú külső szolgáltatóktól...
💻 Az Intel hosszú idő után frissíti a nem-Ultra Core processzorokat, amelyekre eddig a korosodó Raptor Lake architektúrára épülő meglévő Core-szériák voltak jellemzők...
Az amerikai Commodity Futures Trading Commission (CFTC) élén Mike Selig egyre növekvő felügyeleti feladatokkal néz szembe, miközben az ügynökség létszáma az utóbbi években jelentősen csökkent...
💰 Az elmúlt másfél évben a tokenizáció robbanásszerű fejlődésen ment keresztül: eddig csak koncepció volt, de ma már a portfólióépítés legitim eleme lett...
Kiemelkedő nap a történelemben: szerződés, lázadás, köztársaság és űrdrámából csoda. A legemlékezetesebb pillanatok között ott van a Republic of Ireland kikiáltása, a The Canterbury Tales (Canterbury mesék) első udvari előadása és az Apollo 13 biztonságos hazatérése...
A Grand Teton Nemzeti Parkban elképesztő módon léptek fel a fogyatkozó fürjtyúk-populáció megmentéséért: nemcsak hagyományos madárcsali figurákat használnak, hanem rendkívül ötletes, robotizált példányokat is...
