A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Thankful: Gratitude Journal (iPhone/iPad)A Thankful egy letisztult, esztétikus napló, amely segít a hála mindennapi gyakorlásában...
2022 januárjában a Dél-Csendes-óceán mélyén fekvő Hunga Tonga–Hunga Ha’apai víz alatti vulkán kitörése nemcsak a modern idők egyik legnagyobb természeti katasztrófáját jelentette, hanem a tudósokat meglepő légköri folyamatokra is fényt derített...
🌊 A legfrissebb kutatások szerint a globális tengerszint-emelkedés jóval gyorsabb lehet, mint korábban gondolták a tudósok, mivel az Antarktiszon lévő jégtáblák minden eddiginél intenzívebben olvadnak alulról...
Robyn Miller, a Myst és a Riven videojátékok legendás alkotója újra a figyelem középpontjába került a Riven hanganyagának különleges vinilkiadásával, amelyhez ő maga készítette a lemezborító képeit...
A Trump Media & Technology Group jelentős, 147 milliárd forintos (405,9 millió dolláros) első negyedéves veszteséget könyvelt el, miközben bevétele mindössze 307 millió forint (871 200 dollár) volt...
Érdemes kiemelni, hogy a Crimson Desert egyjátékos RPG-ként indul, de fejlesztési tempója és folyamatos frissítései alapján könnyen összetéveszthető egy élő szolgáltatásként működő MMO-val...
Nehéz elhinni, de a legtöbb stratégiai játék tízéves korára már rég kifullad, elnyelik őket az új megjelenések, fejlesztőik pedig már más projektekre koncentrálnak...
🚨 A denveri nemzetközi repülőtéren péntek éjjel minden szemtanút megrázott, ahogy a felszálláshoz készülődő Frontier Airlines egyik gépe a kifutópályán elütött egy gyalogost...
Egy lenyűgöző kutatás során amerikai tudósok egereken tesztelték, hogy a bélrendszerben élő baktériumok fiatalkori összetétele miként befolyásolja a máj állapotát, az öregedési folyamatokat és a daganatkockázatot...
Annak vizsgálatára, meddig juthatunk el a kvantumtitkosítás terén, egy nemzetközi kutatócsoport most sikeresen továbbított gyakorlatilag feltörhetetlen kvantumkulcsokat több mint 120 kilométeres távolságra optikai szálon keresztül...
👶 A babák világra jövetele különleges, mégis megdöbbentően összetett folyamat. Az emberi terhesség átlagosan kilenc hónapig tart, három szakaszra – trimeszterre – oszlik, és már a fogantatás előtt, a menstruációs ciklus kezdőnapjától számítják...
A világ legnagyobb származékos tőzsdéje, a CME Group június 1-jén elindítja a bitcoin volatilitásalapú határidős ügyleteit, amint megkapja a szükséges szabályozói engedélyeket...
Svájcban ismét elhalt egy merész kezdeményezés, amely arra irányult, hogy a Svájci Nemzeti Bank arany- és külföldi devizatartalékai mellett bitcoint is felhalmozzon...
📢 Tizennégy év után ismét lehetőség nyílik arra, hogy vállalatok, szervezetek vagy akár városok saját felső szintű domainnevet (top-level domain, röviden TLD) birtokoljanak az interneten...
