A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
⚠ Nehéz elhinni, de alig pár órával azután, hogy az Adobe bejelentette egy kritikus ColdFusion-sebezhetőséget (CVE-2026-48282), máris aktív támadások indultak világszerte...
📈 A TeraWulf hatalmas lendületet kapott a tőzsdén, miután 20 éves szerződést kötöttek: a Hawesville-ben, Louisville-től kicsit több mint egyórányira található adatközpontjukat az MI-fejlesztő Anthropic bérli ki...
A japán Hayabusa2 űrszonda lenyűgöző bravúrt hajtott végre: mindössze 800 méterre száguldott el a Torifune nevű aszteroida mellett, mintegy másodpercenként 5 kilométeres sebességgel...
Különösen igaz ez akkor, ha valaki éppen garanciális javításra vagy cserére szorul, de végül csak értelmetlen utalványokat kap, amiket gyakorlatilag semmire sem tud felhasználni...
📸 A Samsung következő generációs hajlítható készülékei jelentős dizájnváltáson esnek át, hogy szinte teljesen eltüntessék a kijelző közepén futó hajtásnyomot...
Erre utal többek között az is, hogy az Apple első összecsukható iPhone-ja, az iPhone Ultra nemcsak késve érkezik, hanem brutális árat kap — ez mégsem riasztja el a vásárlókat...
Noha sokfelé olvasni arról, hogyan csökkenthető az energiapazarlás az alkalmazások optimalizálásával, sokan elfelejtik, hogy a töltők kiválasztása is döntő tényező lehet az akkumulátor élettartamában és a mindennapi kényelemben...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. ICD-10 Dictionary (iPhone/iPad)Az alkalmazással könnyen kereshetsz ICD-10 kódok, betegségek nevei vagy tünetek alapján...
🐶 Egy apró balti-tengeri szigeten olyan leletekre bukkantak, amelyek fenekestül felforgatják korábbi elképzeléseinket az ember és a farkas kapcsolatáról...
💻 A világ egyik legfontosabb számítástechnikai kiállításán mutatkozott be a Micron legújabb fejlesztése, a 9650-es PCIe Gen6 SSD, amely különösen a felhőalapú szerverek számára ígér rekordgyorsaságot...
A nagy technológiai vállalatok most versenyt futnak, hogy ügyfeleiknek csúcsminőségű mesterséges intelligenciát szállítsanak, és ebben már nemcsak a szoftverek számítanak – a szakértelem is aranyat ér...
A 20. század elején a tudósokat teljesen zavarba ejtette a kvantummechanika, amely megkérdőjelezte a józan ész határait, és a legnagyobb fizikusokat is kihívás elé állította...
🥅 Szombaton a New York/New Jersey Stadion közönségét és a világszerte figyelő milliókat is egy eddig sosem látott esemény lepte meg: egy 180 cm magas humanoid robot, Atlas, sétált végig a pálya szélén, sorra bemutatva híres gólörömöket, majd átadta a meccslabdát a játékvezetőnek...
Érdemes megvizsgálni, hogy a fejlődő robotika egyik legnagyobb kihívása továbbra is az, hogyan lehet a lenyűgözően összetett emberi kezet géppel utánozni...
Erre a napra több fordulópont is jut: Jan Hus máglyahalála alapjaiban rázta meg Európát, Richard III angol királlyá koronázása átírta a hatalmi viszonyokat, Louis Pasteur veszettség elleni oltása pedig új korszakot nyitott az orvoslásban...