A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
💎 Ez a látványos, több mint 4500 éves, gyöngyhálóból készült óegyiptomi ruha igazi ritkaság, amely kifejezetten egy nő temetésére készült a piramisok korában...
🔒 A német hatóságok hivatalosan is leleplezték Daniil Makszimovics Scsukint, azt a 31 éves, krími születésű orosz hackert, aki évekig „UNKN” fedőnéven működtette a hírhedt GandCrab- és REvil-zsarolóvírus-bűnbandákat...
Az emberiség elképesztően sokszínű környezethez alkalmazkodott az évezredek során. Bárhol nézünk szét a Földön, megtalálhatók olyan közösségek, amelyek a legextrémebb körülményeket is túlélhetővé tették – sőt, otthonukká formálták...
📤 Ebből következően érdemes megérteni, hogy az adattárolás egyre nagyobb kihívást jelent: a videók felbontása és mérete folyamatosan nő, a projektekhez szükséges fájlok könnyen túllépik a több száz MB-ot, miközben a megbízható, nagy kapacitású és megfizethető fizikai tárolók lassan eltűnnek...
⏱ Alig pár napja, hogy a T-Mobile frissítette a hálózatát, és elbúcsúzott néhány régi biztonsági szabványtól, amelyeket a 2017 előtti, régi androidos vagy iPhone-ok használtak...
Tipikus eset, amikor a technológia fejlődése villámgyorsan átírja a játékszabályokat: az MI már nemcsak elméleti fenyegetés, hanem a mindennapi gazdaság húzómotorja...
Az elmúlt tíz évben Angliában és Walesben mintegy ötvenszeresére emelkedett a rendőrség által nyilvántartott zaklatási ügyek száma, tavaly több mint 135 ezer bűncselekményt regisztráltak, szemben a tíz évvel korábbi majdnem 3 ezerrel...
Micsoda fordulat a hétvégén! A kriptopiacon mindenki a NEAR Protocolra kapta fel a fejét, mert 8,1%-ot hasított – komolyan, ez már nemcsak véletlenül elszabadult rakéta...
A NASA épp most ír történelmet az Artemis II küldetéssel. Reid Wiseman, Christina Koch, Victor Glover és Jeremy Hansen lesznek azok, akik minden eddigi űrhajósnál messzebb utaznak a Földtől, az Orion űrhajóval...
📺 A Walmart legújabb, 4K-s streaming stickje már csendben megjelent néhány üzlet polcán, így a vásárlók már most is beszerezhetik az UHD-minőséget kínáló eszközt...
⚡ A Samsung legújabb csúcsmobilja, a Galaxy S26 Ultra elsőként kapott 60 wattos vezetékes gyorstöltést, amivel végre felzárkózott a versenytársak szintjéhez...
Az ipart formáló, stratégiai jelentőségű innovációként tör előre a szilícium-fotonika: ez a technológia főként a fejlett MI-, kommunikációs és adatinfrastruktúra alapkövévé válik...
⚠ A világ legnagyobb Bitcoin-vagyona veszélybe került, mivel új kvantumszámítási technikák már 2029-re képesek lehetnek feltörni Satoshi Nakamoto pénztárcáit akár kilenc perc alatt is...
Az idei év elején komoly hullámokat vetett a technológiai piac, amikor a fejlett MI-megoldások, mint az Anthropic Claude jogi feladatmodulja, egyetlen nap alatt 104 ezermilliárd forintnyi piaci értéket tüntettek el a tőzsdékről...
Gyerekek és mobilkamerák – ez aztán páros! Ha hagyod, hogy a kis kezek rátegyék a tappancsukat a mobilodra, tuti, hogy pár ujjlenyomat és egy adag titokzatos trutyi landol a képernyőn, sőt, a kamerán is...
⚠ A blokkláncon megjelenő valós eszközök tokenizációja forradalmasíthatja mind a kriptopiacokat, mind a hagyományos pénzügyi rendszert, de új kockázatokat is teremt, amelyekre a szabályozóknak egyelőre nincs válaszuk...
Érdemes megvizsgálni, hogy egy kísérleti génszerkesztéses eljárás milyen áttörést hozhat a veszélyesen magas koleszterinszint kezelésében azok számára, akiknek a hagyományos gyógyszerek nem válnak be, vagy egyszerűen nem képesek hosszú távon következetesen szedni azokat...
A világ távközlési infrastruktúrája jelentős átalakulás előtt áll: a műholdas rendszerek mellett most a sztratoszférába emelt, irányítható léghajók is megjelentek az adatátvitel forradalmian új formájaként...
Ez a jelenség jól illusztrálja, hogy az okostelefonokon futó alkalmazások gyakran észrevétlenül is helytelenül kezelik a memóriát, ami adatvesztéshez, engedély nélküli hozzáféréshez vagy akár komolyabb biztonsági résekhez vezethet...
