A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
⚠ Felmerül a kérdés, hogy mennyi időnk maradt, amíg a kvantumszámítógépek valóban veszélyt jelentenek az internetes adatvédelemre és biztonságra – és hogy milyen gyorsan kell lépnünk ahhoz, hogy megússzuk a nagy leleplezést...
Külön említést érdemel, hogy az elektromos fogkefék piacát régóta uralják a jól ismert márkák, most azonban a Laifen Wave Pro minden szempontból új szintre emeli az otthoni szájápolást...
🌕 A NASA Artemis II-küldetésének legénysége történelmi utat tett meg a Hold körül, miközben lenyűgöző felvételeket készített a Föld felkeltéről és lenyugvásáról a világűrből...
Az élet mindannyiunkat próbára tesz: a munka, a kapcsolatok, a szorongás és a hétköznapi gondok könnyen csapdába ejthetnek minket a saját gondolatainkban...
🔒 Érdekes fejlemény, hogy egy nemzetközi akció során sikerült lebuktatni azt az orosz hekkercsoportot, amely tömegesen törte fel otthoni és irodai routereket, hogy így Microsoft-fiókokhoz férjen hozzá világszerte...
🚀 Április 7-én, az Artemis II küldetésének hatodik napján újra ember került közel a Holdhoz: a NASA és a Kanadai Űrügynökség négy űrhajósa történelmi Hold-kerülő pályára állt, az Apollo-korszak óta először közelítve meg így égi kísérőnket...
Itt a tavasz, jön a friss Motorola-cunami: április 16-tól indul a 2026-os Moto G Stylus, majd rá két hétre, április 30-án debütál a vadonatúj Moto Pad táblagép...
Érdemes megvizsgálni, hogy a mobildizájn világa új lendületet kaphat-e a következő hónapokban, amikor a széles hajlítható készülékek csatája veszi kezdetét...
Egy elégedetlen biztonsági kutató szivárogtatta ki a „BlueHammer” nevű, súlyos Windows-sebezhetőség kihasználására alkalmas kódot, amely lehetővé teszi, hogy a támadók rendszergazdai vagy SYSTEM-jogosultsághoz jussanak...
Miközben a világ szépen visszaállna a szokásos tempóra, Kína most beintett mindenkinek: felszállt az AEP100 nevű, hidrogénnel hajtott turbólégcsavaros gépük!..
Az Anthropic bejelentette, hogy 2027-től kezdődően közel 3,5 gigawatt számítási kapacitást vesz igénybe, amelyet a Google fejlett tensorprocesszorai (TPU-k) biztosítanak...
Hosszú hónapok vizsgálata után lezárta a Nemzeti Közúti Közlekedésbiztonsági Hivatal (NHTSA) a Tesla távoli parkolást megvalósító Smart Summon funkciójának ügyét, mivel a feltárt balesetek java része csupán apró koccanás volt – ráadásul mind alacsony sebességnél történt...
A vállalatok számára a fogyasztók véleményének és viselkedésének megértése régóta kardinális kérdés, de az ehhez szükséges adatok összegyűjtése sok időt és pénzt igényelt...
Ahogy beköszönt a tavasz, egyre többeket gyötörnek a pollenallergia tünetei: tüsszögés, orrfolyás, bedugult orr, kaparó torok, viszkető, könnyező szemek...
Tízezrek dolgoznak a Meta tulajdonában álló Scale AI nevű vállalatnál egy különleges feladaton: a mesterséges intelligenciát tanítják olyan adatanyagokkal, mint Instagram-képek, Facebook-profilok, sőt, szerzői jog alatt álló művek és pornográf hanganyagok...
🚗 Érdemes megvizsgálni, hogy a tudósoknak először sikerült teherautóval antianyagot szállítaniuk, ami jelentős előrelépés: lehetővé teszi, hogy ez a különösen instabil anyag eddig elképzelhetetlen pontosságú kísérletekben játsszon szerepet...
