A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Áprilisban igazán izgalmas időszak vár az Xbox Game Pass előfizetőire: díjnyertes folytatások, zseniális új független címek, klasszikusok ráncfelvarrott kiadásai és persze jó néhány addiktív gyöngyszem kerül fel a platformra...
A mesterséges intelligencia fejlesztésének egyik legfőbb kihívása, hogy olyan autonóm ügynökök épüljenek, amelyek képesek alkalmazkodni a környezet változásaihoz anélkül, hogy az alapul szolgáló nagy nyelvi modellt újra kellene tanítani...
💉 Míg az elmúlt években a Lyme-kór egyre komolyabb egészségügyi problémává nőtte ki magát, most új remény villant fel: a Pfizer és a Valneva közös fejlesztése révén egy hatékony vakcina kerülhet a piacra, amely segíthet megfékezni ezt a kullancsok által terjesztett betegséget...
☀️ Úgy tűnik, a Samsung most komolyan fejleszti a Now Brief funkcióját: a kiszivárgott képernyőfotók alapján már nemcsak az aktuális nap időjárását mutatja majd, hanem egy teljes, hétnapos előrejelzést is, részletesen megadva a napi maximumokat és minimumokat, valamint ikonokkal illusztrálva a várható időjárást...
🔒 A kontinens legnagyobb vasúti utazásait szervező Eurail kénytelen volt elismerni, hogy tavaly december végén hackerek több mint 300 ezer ügyfél személyes adataihoz jutottak hozzá...
Pár hónap múlva már a Pixel 11 szériát foghatjuk kézbe – és bármilyen hihetetlen, de ezek a telefonok lehetnek az elsők, amelyek megkapják a Samsung vadonatúj M16 OLED paneljét...
🤯 Emellett a Google Home felhasználói egyre nagyobb számban tapasztalnak komoly problémákat a Gemini nevű, frissített hangalapú asszisztenssel, amelyet már 16 új országban vezetik be...
⚠ Az OpenAI felfüggesztette az Egyesült Királyságba tervezett Stargate nagyléptékű MI-infrastruktúra kiépítését, miután makacs energiaár-emelkedés és bizonytalan szabályozási környezet húzta keresztbe a számításaikat...
Jól mutatja, hogy egyetlen elütés is okozhat milliárdos kárt: a második legnagyobb dél-koreai kriptotőzsde, a Bithumb munkatársai februárban tévedésből egy promóció során „BTC”-t írtak „KRW” helyett, így 249 nyertesnek nem 620 000 forintnyi összeget, hanem fejenként 620 000 bitcoint, összesen több mint 40 milliárd dollárt (14 320 milliárd forintot) írtak jóvá belső rendszerükben...
🥗 Ez a jelenség jól illusztrálható azzal, hogy a látszólag hétköznapi fűszernövények – mint a menta, az eukaliptusz és a csilipaprika – természetes vegyületei elképesztő erővel léphetnek fel a szervezet gyulladásos folyamatai ellen, főleg, ha bizonyos kombinációkban találkoznak az immunrendszer sejtjeiben...
Érdekes felvetés, hogy néhány kulcsfontosságú, nyílt forráskódú program fejlesztői napok óta nem tudják frissíteni alkalmazásaikat Windowsra, mert a Microsoft egyik pillanatról a másikra, érdemi figyelmeztetés nélkül felfüggesztette a fejlesztői fiókjaikat...
A Case Western Reserve Egyetem kutatói egy meglepő összefüggésre derítettek fényt: a bélben élő baktériumok által termelt káros cukrok jelentős szerepet játszhatnak a rendkívül pusztító agyi betegségek, például az ALS (amiotrófiás laterálszklerózis) és a frontotemporális demencia kialakulásában...
A Galaxy S22 Ultra-tulajdonosok egy része teljesen váratlan akadályba ütközik, amikor a gyári beállítások visszaállítása után az általuk legálisan vásárolt telefont egyszer csak zárolják — ráadásul nem is ők, hanem egy ismeretlen, gyanús szervezet, a Numero LLC neve jelenik meg a készüléken...
A JBL két új modellje, a Live 780NC és a Live 680NC csábító ígérettel érkezett, hogy a középkategóriás vezeték nélküli, zajszűrős fejhallgatók élmezőnyébe törjön...
🚲 Egy újabb történelmi kört zárt a NASA, amikor az Orion űrhajó tizenhárom évnyi előkészület után négyfős személyzettel kerülte meg a Holdat és indult vissza a Föld felé...
📝 Komolyan mondom, végre egy kis ész a digitális káoszban! A Google beolvasztotta a NotebookLM nevű mesterségesintelligencia-alapú kutatósegédjét a Gemini csevegőjébe, így mostantól már nem kell ezer ablak között vergődve kezelni a jegyzeteidet...
Érdemes megvizsgálni, hogy a Meta legutóbbi MI-modellje, a Muse Spark képes-e új alapokra helyezni a cég mesterségesintelligencia-stratégiáját, miután a Llama 4 csalódást keltő fogadtatásban részesült...
