A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
A kínai fejlesztésű, történelmi Kínában játszódó Wuchang: Lehullott tollak (Wuchang: Fallen Feathers) meglepő fordulattal immár egy olasz vállalat tulajdonában van...
Jack Mallers cége, a Twenty One Capital (XXI) részvényei több mint 8 százalékot ugrottak a tőzsdezárás után, miután kiderült, hogy a fő tulajdonos, a Tether összefogást kezdeményezett a Strike nevű Bitcoin-pénzügyi platformmal és az Elektron Energy bányavállalattal...
Ebből következően érdemes megérteni, hogy a Meta úttörő lépésre szánta el magát: Kolumbiában és a Fülöp-szigeteken kiválasztott tartalomgyártók már stabilcoinban kapják meg bevételeiket...
Rendhagyó nap a világtörténelemben: Saigon eleste véget vetett a vietnámi háborúnak, a CERN pedig ingyenessé tette a World Wide Web protokolljait, forradalmasítva az internetet 🌐...
Érdemes megvizsgálni, mi teszi az Etnát a földkerekség egyik legkülönlegesebb vulkánjává – amit az is jelez, hogy a friss kutatások gyökeresen új magyarázattal szolgálnak a szicíliai tűzhányó szokatlan viselkedésére...
🚀 Erre utal többek között az, hogy az Anthropic által bemutatott Mythos MI-modell fenekestül felforgatja a kriptoszektor eddigi biztonsági stratégiáit...
A tőzsdék világában most ritkán látott különbségek alakultak ki: egyre többen keresik a jövőt az MI-részvényekben, miközben a bitcoin sosem látott mértékben alulértékelt...
Kína következő szuperszámítógépe minden eddiginél erősebb processzorteljesítményre épít: már a fejlesztés első ütemében 100 Huawei Kunpeng szervert kötnek össze, összesen 12 800 maggal...
🏝 Például több mint ezeréves temetők rejtélyei segítenek megfejteni, hogyan boldogultak az emberek a Római Birodalom bukása után Dél-Németország határvidékén...
🌀 Felmerül a kérdés, hogyan védekezhetünk a bosszantó gyümölcslegyek ellen a nyári estéken, amikor a friss gyümölcs, a nyitott ablakok és ajtók valóságos meghívót jelentenek ezeknek az apró kártevőknek...
💸 Kriptós körökben most mindenki a Hyperliquid friss húzásáról beszél. Lényegében közzétették az úgynevezett outcome tokenekre vonatkozó díjszabást – ezek azok az eszközök, amelyekkel különféle események kimenetelére lehet fogadni a platformon...
Május második felében tarol a Motorola, hiszen öt új eszközt jelentett be: három klasszikus, kagylóhéjas, hajlítható telefont, egy könyvszerűen hajlítható készüléket és egy vadonatúj fülhallgatót...
🔑 Észrevétlenül, minden felhajtás nélkül dobta piacra az Nvidia a GeForce RTX 5070 Laptop GPU 12 GB-os konfigurációját egy egyszerű illesztőprogram-módosítás formájában...
🚧 Az Arc Raiders legfrissebb Riven Tide frissítésében felbukkanó Arc Turbine egészen más ligát képvisel az ellenségek között – az igazi izzasztó hajrákat pont akkorra időzíti, amikor már az idő szorít, és a menekülőútvonalad sincs mindig garantálva...
🔒 A globális kiberbiztonsági hivatalok egyre nagyobb figyelmet fordítanak az otthoni routerekre, amelyek a legújabb célpontjai lettek a Kína által támogatott, úgynevezett rejtett hálózatoknak...
🤠 Kayce Dutton nélkül már elképzelhetetlen a Yellowstone (Yellowstone) világa — egy idő után azonban mégis felmerült a kérdés, meddig marad a karakter...
Például ami először apróságnak tűnt, gyakran jelentős hatással lehet az egész természetre: egyetlen döntés, egy apró változás, és máris beindul egy láncreakció, amely alapjaiban alakítja át a tájat...
