A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Tipikus eset, amikor az ember azt gondolná, hogy a napenergia tárolását már lehetetlen forradalmasítani – aztán jön egy egyetemista csapat, és mindent újragondol...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. 100 Plants – Grow & Learn (iPhone/iPad)A „100 Plants – Grow & Learn” oktatási alkalmazásban száz növényt lehet végigkövetni a magtól a virágzásig...
💰 A kriptopiac látványos emelkedést produkált, amikor az amerikai Szenátus Bankbizottsága előrelépést ért el a régóta várt digitális eszközpiac-szabályozásban...
Érdekes, hogy egy amerikai adatközpont 15 hónap alatt több mint 110 millió liter vizet használt fel, miközben a környéken élők csak a csökkenő víznyomásból sejtették, hogy valami nincs rendben...
Egy forradalmi, japán fejlesztésű gyógyszer, az ensitrelvir képes megelőzni a COVID-19 kialakulását azoknál, akik már ki voltak téve a SARS-CoV-2-fertőzésnek...
Érdemes megvizsgálni, miként vált a szilícium-völgyi Cerebras az egyik legértékesebb félvezető-vállalattá a világon mindössze egyetlen tőzsdei nyitónapon, amikor részvényárfolyama megduplázódott, és elképesztő, közel 100 milliárd dolláros (azaz mintegy 36 ezer milliárd forintos) vállalati értékelést ért el...
😕 Érdekes jelenség, hogy miközben az idősebbeknél csökken a vastagbélrák előfordulása, a fiatalabb felnőttek körében feltűnően emelkedik az új megbetegedések száma – olyannyira, hogy már a harmincas éveikben járók között is egyre gyakrabban kapnak diagnózist...
A nyugat-virginiai Green Bank rádiótávcső egy több mint 320 000 kilométerre haladó űrkapszulát örökített meg: bár a felvételen csupán néhány apró, részben elmosódott pixel látható, mégis négy ember tartózkodott ebben a pontokból álló foltban...
😰 Egyre élesebb a verseny az MI-csevegőprogramok piacán. Míg egy évvel ezelőtt az OpenAI által fejlesztett ChatGPT még uralta a területet, napjainkra jelentősen csökkent az előnye...
Ma több korszakos fordulópont és izgalmas epizód sorakozik: a vesztfáliai béke lezárja az európai vallásháborúkat 🙂, az amerikai Legfelsőbb Bíróság feldarabolja a Standard Oilt, és felszáll az első brit sugárhajtású repülő...
💰 A stabilcoinok váratlan pályafutása mindenkit meglepett, hiszen a kriptovilág pereméről mára a globális pénzforgalom és a céges pénzügyi folyamatok alapköveivé váltak...
Megdöbbentő új felfedezés borzolja a tudományos kedélyeket: a kutatók egy kivételesen ép Edmontosaurus-csontban eredeti szerves molekulák nyomaira bukkantak, amelyek akár 66 millió éve fennmaradhattak...
🏛 Colchester városában lenyűgöző leletre bukkantak: egy gazdagon díszített ókori sírban egy fiatal római nőt temettek el, különleges tárgyakkal és egzotikus anyagokkal körülvéve...
🤖 Fontos kérdés, miként lehet a már folyamatban lévő céges munkafolyamatokat arra használni, hogy saját MI-modellt tanítsunk, külön gépi tanulási csapat nélkül...
📈 Ami kezdetben ártalmatlannak tűnt, mára komoly sikerré vált: az AMD már a teljes x86 processzorpiac bevételeinek 38,1%-át birtokolja, ami jelentős előrelépés az előző negyedévhez képest...
A legújabb Edge-frissítés minden eddiginél komolyabb változást hozott. A Microsoft leállította a Copilot módot, ehelyett külön MI-alapú funkciókat vezetett be, amelyek közvetlenül a böngészőbe épülnek...
Egy lényeges szempont, hogy a YouTube teljesen új szemszögből közelít a tévézéshez: már nemcsak videónézésre használhatod az alkalmazást, hanem akár azonnali vásárlásra is, mindezt a saját tévéd képernyőjén...
