A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
💥 A Microsoft szerdán bejelentette, hogy három vadonatúj, teljesen saját fejlesztésű MI-modellt indít el, amelyek hangfelismerésre és -átalakításra, valamint képalkotásra specializálódtak...
Több mint 12 ezer évvel ezelőtt az amerikai őslakosok már használtak dobókockákat és játszottak szerencsejátékokat – derült ki egy friss régészeti kutatásból...
💻 Az IBM stratégiai együttműködést jelentett be az Arm-mal, hogy közösen fejlesszenek új hardverarchitektúrákat, amelyek a cégek számára nagyobb rugalmasságot, megbízhatóságot és biztonságot kínálnak a következő generációs MI- és adatalapú alkalmazások futtatására...
🐋 Magasan a dél-amerikai esőerdők lombjai között a kutatók egy különös, új termeszt fedeztek fel, amely kísértetiesen egy miniatűr ámbráscetre hasonlít...
A NASA Artemis II küldetése történelmi pillanat: az űrhajósok először indulnak majd újra a Hold körüli pályára, kiemelt figyelmet fordítva arra, hogy a világűrből érkező sugárzás hogyan hat az emberi szervezetre...
Az MI-alapú toborzó startup, a Mercor megerősítette, hogy a LiteLLM-hez köthető ellátási láncbeli támadás áldozata lett – hasonlóan több ezer másik vállalkozáshoz...
Miután az Embark Studios berobbant az Arc Raiders című játékkal, komoly viták robbantak ki a stúdió által alkalmazott mesterséges intelligencia (MI) miatt...
Lényeges, hogy az új OnePlus Nord 6-ot kézbe véve nem az fogad, amit egy hatalmas, 9 000 mAh-s akkumulátorral szerelt telefon alapján várnál: a készülék meglepően könnyű és vékony, abszolút nem nevezhető téglának...
Több mint ötven év után újra amerikai asztronauták indultak a Hold felé: a NASA történelmi Artemis II missziója ragyogóan startolt el Cape Canaveralból, és lelkes nézők ezrei töltötték meg a kilövőközpont környékét...
🤖 Különösen említést érdemel, hogy a vastagbélrák – amely az Egyesült Királyságban a negyedik leggyakoribb daganat, és a daganatos halálozás második fő oka – meglepő módon egyedi mikrobiális „ujjlenyomattal” rendelkezik...
🚗 Megérkezett a régóta várt iOS 26.4 frissítés, amely először teszi lehetővé harmadik féltől származó MI-chatbotok használatát az Apple CarPlay rendszerében...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Dungeon Survival (iPhone/iPad)A játék minden alkalommal új, véletlenszerűen generált barlangszinteket kínál, így mindig más kaland vár...
A Nomad bemutatta legújabb Tracking Card Air-jét, amely már támogatja a Google Eszközkeresés (Find My Device) hálózatát is, és egyetlen töltéssel akár hét hónapig működik...
Megtörtént, amire minden űrrajongó régóta várt: négy bátor űrhajós elstartolt a floridai Kennedy Űrközpontból, és belekezdtek egy tíznapos, felsőkategóriás körútra a Hold körül...
