A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
💰 India 2047-ig teljes adómentességet ajánl a külföldi felhőszolgáltatóknak, ha MI-munkaterheléseiket indiai adatközpontokból működtetik, és azokat külföldre értékesítik...
Érdemes megérteni, mi áll a közönséges nátha eltérő lefolyásának hátterében. Míg sokan csak enyhe orrfolyással és köhögéssel megússzák, másoknál komoly légzési nehézségekig is vezethet egy egyszerű náthavírus...
Egy új mobilalkalmazás forradalmasítja a dinoszaurusz kutatását: az MI-alapú DinoTracker bármilyen dinoszaurusz-lábnyomról, akár egy fotó vagy rajz alapján, néhány pillanat alatt megmondja, melyik ősállat járhatott arra évmilliókkal ezelőtt...
Elon Musk új MI-cége, az xAI meglepően magas követelményeket állított a legújabb írásspecialista pozíció betöltéséhez, ami a hétvégén az interneten is sokak figyelmét felkeltette...
🎮 A retró játékok szerelmesei örülhetnek: az Ayaneo új kézikonzolja, a Pocket S Mini, végre igazi 4:3 képaránnyal idézi meg a klasszikus PlayStation- és Nintendo-korszakot...
Egy friss tudományos áttörés rávilágított arra, hogy egy eddig rejtett kvantumgeometria úgy hajlítja az elektronokat, ahogy a gravitáció görbíti a fényt...
A brit AstraZeneca újabb nagy fordulóponthoz érkezett: 2026 elején bejelentették, hogy jelentős beruházással erősítenék kínai jelenlétüket, miközben részvényeiket hétfőtől a New York-i tőzsdén is jegyzik...
🚘 Az elmúlt években autógyártók, akkumulátorgyártók és beszállítók több százmilliárd dollárt – közel 73 000 milliárd forintot – fektettek be az elektromos járművek (EV) gyártásába az Egyesült Államokban, ebből csaknem a felét a déli régiókban, főként republikánus vezetésű államokban...
Az MI-infrastruktúra-fejlesztés idén új lendületet kapott, és a tőzsdei szereplők egyre inkább a félvezetőszektorra, azon belül is az eddig kevésbé reflektorfényben lévő cégekre figyelnek...
💰 A Chan Zuckerberg Initiative (CZI) 2026-ot jelentős átalakításokkal indította: 70 munkatársat bocsátottak el, hogy átformálják a szervezetet, és az erőforrásokat az MI-alapú biomedicinai kutatások felé irányítsák...
🔍 Az utóbbi napokban Alex Pretti halálos minneapolisi lövöldözésének képei és videói futótűzként terjedtek a közösségi oldalakon – ám ezek jelentős része mesterséges intelligencia által manipulált...
A NASA Hubble-űrteleszkópja lenyűgöző felvételt készített a Skorpió csillagképben található Lupus 3 molekulafelhőről, ahol gáz- és porfelhők közepette fiatal csillagok születnek...
⚠ Fontos kérdés, hogy miért működnek annyira rosszul a vállalati MI-alapú keresők a bonyolult technikai dokumentumokkal, miközben elsőre azt ígérik, hogy bármilyen PDF vagy kézikönyv tartalmát percek alatt feldolgozzák...
A San Franciscóban tartott, 11 napos tárgyaláson a bíróság bűnösnek találta Linwei Ding volt Google-fejlesztőt, aki bizalmas MI-szuperszámítógép-technológiákat juttatott el kínai cégeknek...
Az AYANEO alaposan meglepte a játékos közösséget: ezúttal kihagyott mindenféle közösségi finanszírozást vagy hosszadalmas előrendelést, és az új Pocket S Mini kézikonzol már most elérhető, raktárról rendelhető...
