A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
A mindennapok egyik legfontosabb anyaga a megerősített gumi, amelynek köszönhetően az autó- és repülőgépgumik elviselik a hatalmas terhelést, ráadásul megtalálható ipari gépekben, egészségügyi eszközökben, sőt, a kerti locsolótömlőkben is...
💰 A japán KDDI 14,9%-os részesedést szerez a Coincheck Groupban, miután 65 millió dollárért – közel 23,2 milliárd forintért – 28,5 millió új részvényt vásárol részvényenként 2,28 dolláros (kb...
📱 Az Apple hamarosan piacra dobhatja első hajlítható iPhone modelljét, amit iPhone Ultra néven emlegetnek, és úgy tűnik, ezzel új fejezetet nyithat a mobiltechnológiában...
📱 Az Android 17 hívószám-hamisítás elleni védelme (Spoofing Protection) váratlanul hasznosnak bizonyul: képes felismerni a csalókat és megszakítani a hívásaikat, még mielőtt megszereznék az érzékeny adatokat...
Az elmúlt években a piacok régóta birkóznak azzal, hogyan értelmezzék a bitcoint: részvény helyett inkább kockázatos vagyontárgynak tartják, amely felfelé repül, ha bő a likviditás, és zuhanni kezd, ha eluralkodik a védekező hangulat...
Tipikus eset, amikor a nyílt forráskódú közösség jelentős elismerésben részesül. Németország Szuverén Technológiai Alapja (Sovereign Tech Fund) 1,3 millió euróval (kb...
A játékvilágban az első benyomás kíméletlenül dönthet sorsokról. A BioShock-sorozat ennek ékes példája: már az első percek beszippantanak, elég csak Rapture városába alászállni, miközben Andrew Ryan szónokol a szabadságról és a kemény munkáról...
💰 Noha az elmúlt időszakban a pénzügyi piacok gyakran kilengtek a geopolitikai események hatására, az utóbbi napokban a legnagyobb kriptovaluta szinte mozdulatlanul őrzi értékét...
💰 Az eToro vezérigazgatója, Yoni Assia optimistán tekint a kriptodevizák jövőjére, noha az év első negyedévében a cég jelentős visszaesést tapasztalt a digitális eszközökkel kapcsolatos aktivitásban...
A Metal Gear Solid Master Collection utolsó nagy frissítése idén érkezett meg, 61 GB-nyi új textúrával gazdagítva az MGS3-at, valamint végre lehetővé tette a játékosoknak, hogy a vezérlőn megcseréljék a megerősítő és visszalépő gombokat az MGS1-ben...
A Spotify húszéves jubileuma nem alakult zökkenőmentesen: az új Party of the Year(s) funkció bejelentése után a szolgáltatás órákra elérhetetlenné vált...
🛡 A bitcoin most kritikus szinten mozog, a 200 napos egyszerű és exponenciális mozgóátlag alatt, amelyek 82 455 dollárnál és 82 027 dollárnál húzódnak...
Érdemes megvizsgálni, hogy napjainkban miként változnak a memória- és SSD-árak, hiszen ezek szinte mindenki pénztárcáját érintik, aki új laptop vagy alkatrész vásárlását fontolgatja...
🎁 Ez a jelenség jól illusztrálja, hogy az amerikai boltok polcaira kerülő termékek már most drágulnak, miközben a kínai gyártók évek óta először emelnek árakat, éppen a karácsonyi szezon gyártási csúcsidőszakában...
Sokan észlelték, hogy a legújabb Windows 11-frissítés telepítése után sem jelent meg az Xbox-mód, holott ezt a konzolos kezelőfelületet már az április 30-i, majd a májusi frissítés (KB5089549) is elhozta néhány felhasználónak...
🤔 Noha elsőre sci-fi forgatókönyvnek hangzik, a legfrissebb kutatások bebizonyították, hogy a fejlett nyelvi modellek már képesek önállóan terjedni, sérülékeny rendszereken át replikálni magukat, és saját magukból újabb, működő példányokat létrehozni...
Érdemes megérteni, hogy az Apple végre rászánta magát a Siri teljes megújítására, amely nemcsak a kinézetében, hanem a tudásában is jelentős ugrást ígér...
🔥 A TCL legújabb csúcskategóriás mini-LED televíziói végre hivatalos árat kaptak az Egyesült Királyságban – és az árak láttán komolyan elgondolkodik az ember: érdemesebb lehet ezek közül választani, mint egy LG OLED-modellt...
