A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Az Amnezia VPN legújabb, 4.8.15-ös verziója minden nagyobb operációs rendszeren elérhető, és egyszerre hoz jelentős hibajavításokat, kiemelten fontos biztonsági frissítést, valamint számos felhasználóbarát újítást...
💀 Matt Firor, a ZeniMax Online Studios alapítója elég markánsan emlékszik vissza arra a napra, amikor egy húzással két nagy stúdiót, a Tango Gameworksöt és az Arkane Austint is bezárták az Xboxnál...
A régi házakban vagy pincékben sokan titokzatos, megmagyarázhatatlan nyugtalanságot éreznek, akár anélkül, hogy bármi szokatlant látnának vagy hallanának...
Az 1990-es években a Marvel világa nyitott a videojáték-fejlesztés felé, de hőseinek és gonosztevőinek kezelése terén minden apró részletre odafigyelt...
A malária nemcsak megtizedelte őseinket, hanem döntően befolyásolta, hol élhettek, hogyan alakultak közösségeik és végső soron miként jutottunk el idáig...
Whitney Leavitt, aki A mormon feleségek titkos élete (Secret Lives of Mormon Wives) egyik főszereplője, váratlanul jelentette be távozását a népszerű Hulu-sorozatból – épp a Broadwayn futó, nagysikerű Chicago (Chicago) előadásán, vasárnap este...
💀 Olivia Wilde legutóbbi vörös szőnyeges megjelenésével nem kis riadalmat keltett: igencsak furcsán festett a San Francisco-i Nemzetközi Filmfesztiválon, ahol új filmjét, A meghívót (The Invite) népszerűsítette...
A Connections mai kihívása komoly fejtörést okozott a játékosoknak. Tizenhat szó közül kell megtalálni azokat a négyes csoportokat, amelyek valamilyen témában összetartoznak...
💰 A nagybankok – köztük a Morgan Stanley – egyre komolyabban foglalkoznak a digitális eszközök piacával, miután nő az ügyféloldali igény a Bitcoin iránt...
🎉 Nem hiszem el, de Jeremy Allen White nemcsak a Star Wars univerzumában repked, hanem most éppen a valóságban is rátolt egy nagy adrenalinbombát a gyerekeivel!..
💡 A Norton VPN for Agents a VPN-ek világában egy teljesen új irányt képvisel: kifejezetten MI-ügynökökre optimalizált, önállóan működő megoldásról van szó, amely feleslegessé teszi a klasszikus kliensalkalmazásokat és a bonyolult telepítési folyamatokat is...
🤔 A mai Quordle (1561. játék) kifejezetten izgalmasra sikerült, ugyanis négy különböző magánhangzó játszott szerepet – A, E, I, O, valamint U –, de a Y ezúttal nem érdemel figyelmet...
Mai időutazásunkon merényletek, döntő csaták és világtörténelmi fordulópontok sorakoznak. Kiemelkedik a német kapituláció 1945-ből, a kent állami lövöldözés 1970-ből, a Greenpeace születése, valamint Rabin és Arafat békemegállapodása...
Rio de Janeiroban szombat este felejthetetlen hangulat uralkodott, amikor Kolumbia szupersztárja, Shakira adott ingyenes koncertet a legendás Copacabana strandon...
Az asztronómia világában új mérföldkőhöz érkeztek a Warwicki Egyetem kutatói, akik több mint 100 exobolygó létezését erősítették meg a NASA TESS űrteleszkópjának adataiból...
Jellemző, hogy egyre több felhasználó szenved a Windows 11 memóriaigényétől, miközben a memóriamodulok megdrágultak, és alig akad pénztárcabarát RAM a piacon...
🚨 A tisztább, zöldebb jövő felé vezető út tele van ellentmondásokkal: a mesterséges intelligenciához, szélerőművekhez, mobiltelefonokhoz, elektromos autókhoz és védelmi rendszerekhez nélkülözhetetlen kritikus ásványokat döntően a világ legszegényebb vidékein bányásszák, az ott élők egészsége és környezete pedig végzetesen megsínyli ezt...
A kvantummechanika világa tele van meglepő, néha meghökkentő elméletekkel. Az egészen parányi részecskék nem viselkednek úgy, mint a hétköznapi tárgyak: egyszerre több állapotban lehetnek jelen, amit szuperpozíciónak nevezünk...
🔥 Szombat délután káosz tört ki a New York-i Szcientológia-egyház épületében, amikor egy csapat tizenéves randalírozva betört az oldalajtón, és súlyos károkat okozott az ingatlanban...
