A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Világszerte hatalmas hálók, hosszú horogsorok és apró csalik határozzák meg a halászatot, de ezzel együtt nem kívánt áldozatok is csapdába esnek: teknősök, delfinek, cápák és tengeri madarak kerülnek hálókba évről évre...
🔒 Egyre trükkösebb módszerekkel támadják a Mac-felhasználókat: az Infinity Stealer nevű új kártevő Python-alapú, és a Nuitka-fordítóval natív macOS-binárissá csomagolva jut el az áldozatokhoz...
Bár a házimozi- vagy buliprojektor kifejezés sok mindent takarhat, a Soundcore Nebula X1 Pro minden eddiginél jobban ötvözi a moziélményt és a partihangulatot egyetlen, kerekeken guruló, összecsukható monstrumdobozban...
🏘 Érdemes látni, hogy a 2026-os labdarúgó-világbajnokság körül Amerikában teljes lakásbérleti láz söpört végig, különösen a New Yorkot, New Jerseyt és Connecticutot magába foglaló régióban...
A fizika világában forrongás van kialakulóban: soha nem látott pontosságot ígérnek az új nukleáris órák, amelyekben nem a megszokott elektronátmeneteket, hanem atommagátmeneteket használnak az idő mérésére...
🔒 Többek között a Lockdown módnak (Lockdown Mode) köszönhetően az Apple-nek továbbra sincs tudomása arról, hogy bármelyik, e védelmet használó eszközt sikerrel feltörték volna kémprogrammal...
A Meta vezetősége előtt soha nem látott lehetőség nyílt: ha a cég 2031-re hatszorosára növeli értékét, minden érintett felsővezető akár 330 milliárd forintos (921 millió dolláros) részvénycsomagot is zsebre tehet...
A CERN-nél végre megtörtént, amire eddig senki sem vállalkozott: sikerült 92 antiprotont elszállítani teherautóval egy szupertrükkös, mágneses dobozban...
💰 A házasságban felborult bizalom, a váratlan szakítás és az anyagi bizonytalanság mindenkit megrázhat, de különösen veszélyezteti azokat a nőket, akik háttérbe szorítják saját pénzügyeiket...
Az amerikai űrkutatás új mérföldkőhöz érkezik: a NASA 2028 végéig útnak indítja a Space Reactor-1 Freedom űrhajót, amely nukleáris energiával hajtva halad majd a Mars felé...
💻 Lényeges szempont, hogy a munkahelyi számítógépek jelentős része elavult szoftvert futtat, ezzel folyamatosan veszélyezteti a vállalati biztonságot, és nehezíti a zavartalan munkavégzést...
A kutatók egyre több bizonyítékot találnak arra, hogy nemcsak a sport és a táplálkozás, hanem a bennünk élő egyes bélbaktériumok is hozzájárulhatnak izmaink erejéhez...
Egy ausztrál biotechnológiai cég most jelentős mérföldkövet ért el: élő emberi neuronokat tartalmazó chippel sikerült elérni, hogy játszani tudjon a legendás A Végzettel (Doom) nevű videojátékkal...
Egy évvel a FreeBuds Pro 4 megjelenése után a HUAWEI most bemutatta legújabb zászlóshajó fülhallgatóját, a FreeBuds Pro 5-öt, amely első látásra letisztult AirPods-hasonmásnak tűnhet, de valójában számos izgalmas extrát tartogat azok számára, akik csúcskategóriás funkciókat keresnek elérhető áron...
🕴 A tapasztalt űrhajós, Michael Fincke drámai egészségügyi vészhelyzetet élt át januárban a Nemzetközi Űrállomáson, amikor hirtelen képtelenné vált megszólalni...
🤖 Ami először apróságnak tűnt, ma már az egész kriptoiparágra kiható biztonsági kérdéssé nőtte ki magát: hogyan lehet egy több mint tízéves blokkláncot a modern igényekhez igazítani – főleg, miközben komoly intézményi szereplők készülnek rákapcsolni?..
Na, nem mindennapi show-t csapott a brit Pulsar Fusion: a csapat végre plazmát lobbantott a kísérleti nukleáris fúziós rakétájukban, amivel óriási lépést tettek az űrutazás jövője felé...