A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Kérdés, mikor és milyen formában lép be az Apple a hajlítható okostelefonok világába – hiszen míg a Samsung és a Google már évekkel ezelőtt piacra dobták saját hajlítható mobiljaikat, az Apple eddig feltűnően kimaradt ebből a kategóriából...
Waymo önvezető taxijai komoly problémákkal küzdenek Austinban, mert rendszeresen nem állnak meg az iskolabuszoknál, amikor éppen gyerekek szállnak le vagy fel...
Fontos kérdés, hogy miként tudja az OpenAI vezetősége kezelni az egyre erősödő kritikákat, amelyek a vállalat növekedésével párhuzamosan szaporodnak...
A legnagyobb technológiai cégek, köztük az Amazon, a Microsoft, a Meta és a Google elképesztő összegeket terveznek költeni MI-fejlesztésekre 2026-ban...
Az üzleti folyamatok nagy része ma már böngészőben zajlik: SaaS-alkalmazások, belépési rendszerek, adminisztrációs felületek és MI-eszközök mind ezt a felületet teszik elsődlegessé az adatkezelésben és a munkavégzésben...
🕵 Egy eddig ismeretlen eszközkészletet, a DKnife-ot már 2019 óta használják hackerek arra, hogy hálózati átjárókon (routereken, edge eszközökön) elcsípjék és módosítsák a forgalmat, kémkedjenek, sőt, kártékony programokat juttassanak el a hálózatra csatlakozó eszközökre...
🧠 Egyre több kutatás utal rá, hogy az ősi, amazóniai pszichedelikus főzet, az ayahuasca segítséget nyújthat a poszttraumás stressz-zavar (PTSD) kezelésében...
🙁 Az Egyesült Államok Kibervédelmi Ügynöksége (CISA) figyelmeztetett, hogy a SmarterMail szoftver súlyos biztonsági hibáját (CVE-2026-24423) már aktívan kihasználják zsarolóvírus-támadásokhoz...
Az elmúlt években forradalmi lehetőség sejlett fel a poszttraumás stressz-zavar (PTSD) gyógyításában: az MDMA és a pszilocibin, ezek a hírhedtnek tartott pszichedelikumok ígéretes hatást mutatnak a súlyos pszichés sérülések leküzdésében...
Újabb izgalmas fejlesztéssel jelentkezik a Spotify: elindult az „About the Song” (A dalról) funkció, amivel végre bepillanthatsz a slágerek születésének kulisszái mögé...
A 2026-os Super Bowl reklámjai idén új szintre emelték az MI-technológiát, nemcsak a hirdetések elkészítésénél, hanem a legújabb MI-termékek népszerűsítésében is...
Az MI-kutatás élvonalába tartozó új modellek már nemcsak abban segítenek a mérnököknek, hogy gyorsabban írjanak kódot vagy automatizáljanak rutinfeladatokat...
Egyre több kínai szállodában találnak rejtett kamerákat, amelyek titokban közvetítik a vendégek, köztük párok intim pillanatait Telegram-előfizetők ezrei számára...
A tudomány világa új korszakhatáron áll, miután a híres Relativistic Heavy Ion Collider (RHIC), az Egyesült Államok egyetlen és legnagyobb részecskegyorsítója, 25 év működés után végleg befejezte működését a Brookhaven Nemzeti Laboratóriumban (BNL)...
