A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Érdekes, hogy a kilencéves Kai Moskvitch hobbiból podcastet indított, amelyben azt kutatja, miként változtatja meg a mindennapjainkat a kvantumtechnológia...
💸 Az Anna’s Archive nevű nyílt könyvtárat és keresőmotort 115 milliárd forint (322 millió dollár) kártérítés megfizetésére kötelezték, miután állítólag letöltötte és elmentette a Spotify teljes zenegyűjteményét...
Közeleg az az idő, amikor az uniós tinik nemcsak szívüket, hanem életkorukat is egy appban hordozzák: az új digitális igazolványalkalmazás lehetővé teszi, hogy bárki igazolja a korhatáros tartalmakhoz való hozzáférési jogosultságát, miközben személyes adatai titokban maradnak...
🤔 Fontos kérdés, hogy az utóbbi években áttörésként ünnepelt Alzheimer-kór elleni gyógyszerek mennyire képesek valóban lassítani vagy megelőzni a betegség előrehaladását...
🤖 Például ha régóta vágytál rá, hogy MI-modellek a saját preferenciáid, emlékeid vagy Google Fotóid alapján alkossanak képeket, ez most valóra válhat...
A modern világ egyik kulcsfontosságú alapanyaga, a lítium meglepő helyen bukkant fel: ősi palák és ipari hulladékok tartalmazhatják ezt az értékes fémet...
A Google tavaly 8,3 milliárd rosszindulatú hirdetést állított le, és közel 25 millió hirdetői fiókot függesztett fel – köztük 602 ezret csalással összefüggésben...
💸 Érdekes fejlemény, hogy a kvantumszámítógépes vállalatok részvényei szárnyalni kezdtek, amint az Nvidia bemutatta új, nyílt forráskódú MI-modelljeit, amelyek a kvantumtechnológia gyorsítását célozzák...
A Földtől mindössze 7000 fényévre található Cygnus X-1 az elsőként felfedezett és megerősített fekete lyuk, amely most is komoly meglepetésekkel szolgál...
Különösen igaz ez akkor, ha a technológia mindennapjaink részévé válik: egy friss amerikai és brit kutatás szerint már tíz perc MI-használat is elég ahhoz, hogy függőséget alakítson ki, ami a gondolkodási képességek látványos romlásához és gyors kimerüléshez vezet, ha utána hirtelen megvonják az eszközt...
🖥 Az elmúlt időszakban minden beszélgetés, fórum és előadás a munka jövőjére és arra a kérdésre összpontosított: hogyan tudunk alkalmazkodni a mesterséges intelligencia villámgyors fejlődéséhez?..
Négy fiatal kutató egy elképesztően izgalmas kütyüt rakott össze: úgy tudnak illatélményt előidézni, hogy közben nem kell semmiféle vegyi patronnal vacakolni...
🔥 A legutóbbi tesztek alapján egyértelműen látszik, hogy a Google Pixel mobilok hardvere jelentősen lemaradt játékos teljesítmény terén vetélytársaikhoz képest...
Az MI‑modellek fejlődése az utóbbi időben valósággal kirobbanó: gyakorlatilag minden héten új modell jelenik meg, mindegyik egyre hatékonyabbnak vagy sokoldalúbbnak tűnik...
⚠ A Nemzetközi Energiaügynökség (IEA) figyelmeztetése szerint Európa alig hat hétre elegendő kerozinnal rendelkezik, ami drámai következményekkel járhat a kontinens gazdaságára nézve...
🗓 Az öregedéssel járó károsodások egyik fő okozóját sikerült azonosítani amerikai kutatóknak: a szervezetben csendben felgyülemlő úgynevezett „zombi” immunsejteket...
Az elmúlt napokban a bitcoin árfolyama 27,2 millió forint körül ingadozik, miközben a figyelem egyre inkább az altcoinok, különösen az XRP, a Plasma és a dogecoin felé fordul...
Erre utal többek között az is, hogy idén októbertől néhány japán szupervonaton már exkluzív, privát lakosztályok is elérhetők lesznek, amelyekben 5G-antennával ellátott üvegablakok és zajszűrő technológia gondoskodik a kényelmes utazásról...
🕵 Tipikus eset, amikor jól szervezett csalás miatt milliókat veszít rengeteg vállalat, miközben a háttérben csak néhány, elsőre jelentéktelennek tűnő szereplő húzza a hasznot...
🚀 Közel lehetünk ahhoz, hogy két történelmi Hold-misszió rajtoljon el, melyek célja a Shackleton-kráter vidéke, a Hold déli pólusának egyik legérdekesebb és leggazdagabbnak tartott területe...
Hatalmas vihart kavart az Egyesült Államokban, hogy egy szövetségi esküdtszék illegális monopóliumnak minősítette a Live Nationt és leányvállalatát, a Ticketmastert...
