A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
🤓 Kevesebben tartoznak Genghis Khan híres vérvonalához, mint korábban gondolták. Egy friss genetikai kutatás új fényt vet legendás ősünk családfájára, megingatva a világszerte elterjedt mítoszt arról, hogy minden 200...
✈ A Spirit Airlines ismét túlélési harcot folytat. Az Egyesült Államok egyik legismertebb fapados légitársasága bejelentette, hogy lényegesen kisebb méretben folytatja működését, miközben próbál kimászni második csődeljárásából alig két éven belül...
A volumetrikus 3D-nyomtatásban komoly áttörést értek el a Tsinghua Egyetem kutatói: úgy sikerült felgyorsítaniuk a folyamatot, hogy a szokásos forgó gyantakád helyett egy nagysebességű periszkópot használtak...
🚀 A világ legfiatalabb és legnagyobb becsapódási kráterét fedezhették fel Kína sűrű erdeiben, mégpedig az ország északkeleti részén, Heilongjiang tartományban, a Lesser Xing’an hegységben...
A Wynn Resorts hivatalosan is elismerte, hogy hackertámadás érte vállalati rendszerét, amelynek során illetéktelenek dolgozói adatokat szereztek meg...
Lindsey Vonn, az amerikai síelés ikonikus alakja pályafutása során többször bizonyította elképesztő kitartását, de az idei téli olimpia előtt történt sérülése még számára is életveszélyes kalanddá vált...
💡 Egy spanyol startup, a Multiverse Computing egy jelentősen tömörített, nagy nyelvi modelljével hívja fel magára a figyelmet, amely jóval kisebb méretű, mint versenytársai, mégis hasonló pontosságot ér el...
Ez a jelenség jól illusztrálja, hogy a brit Wayve MI-startup most 1,2 milliárd dollárt, azaz közel 433 milliárd forintot vont be befektetőktől, köztük olyan technológiai óriásoktól, mint az Nvidia és az Uber, valamint három autóipari világmárkától...
A Saarland Egyetem vegyészei végre elérték azt, amire fél évszázada várt a tudományos világ: sikerült szintetizálniuk egy régóta keresett szilíciumalapú aromás molekulát...
Alaszka középső részén, a Tanana-völgyben meglepően régi, 14 ezer éves eszközök kerültek elő, amelyek új fényt vetnek arra, hogyan jutottak el az első emberi közösségek Amerikába...
Lényeges szempont, hogy a fuvarozói és logisztikai cégek mostanában nemcsak a kamionjaikra, hanem a digitális rendszereikre is nagy veszélyek leselkednek...
🛡 A világ legnépszerűbb fogyasztói dróngyártója, a kínai DJI pert indított az Amerikai Szövetségi Hírközlési Bizottság (FCC) ellen az Egyesült Államokban érvényben lévő importtilalom miatt...
⚡ A James Webb űrtávcső lenyűgöző részletességgel térképezte fel az Uránusz rejtélyes felső légkörét, és olyan, eddig ismeretlen jelenségeket fedezett fel, amelyek új fényt vetnek a bolygó furcsa mágneses terére, illetve a légkörében tomboló sarki fényekre...
💡 Az Alzheimer-kór kialakulására mindig is az agyi plakkok és a memóriavesztés szolgált magyarázatul, de most friss kutatások új tényezőre hívják fel a figyelmet...
🤖 Nem hiszem el, de idén tényleg érdemes korábban nekiállni az adóbevallásnak – főleg, mert a 2025-ös gigatörvény (OBBBA) miatt mindenki meglepetésekre számíthat...
Külön említést érdemel, hogy a Discord jelentős változást jelentett be: elhalasztják a felhasználók életkor-ellenőrzésére vonatkozó intézkedések bevezetését...
El sem hisszük, de tényleg: a Rozsomák (Marvel’s Wolverine) megjelenési dátuma felkerült a PlayStation csatornájára, és már szeptember 15-én érkezik!..
🔒 Felmerül a kérdés, hogy az online biztonság érdekében meddig mehetnek el a techóriások, és az Apple ismét lépett: új korhatár-ellenőrző eszközöket vezet be világszerte, hogy megfeleljen a gyermekvédelmi jogszabályok egyre szövevényesebb hálójának...
Jellemző példa erre, hogy két, ugyanott meghirdetett, ugyanolyan állás sincs azonos árazással – az egyik cégnél a fizetés 7 millió forinttól 36 millió forintig terjed, egy másiknál viszont szűk sávban, 35 és 39 millió forint között van...
Anchorage Digital, az Egyesült Államok első szövetségi kriptobankja, a saját mérlegére vette a Strategy nevű, bitcoin-kincstárral rendelkező cég örökjáradék jellegű elsőbbségi részvényeit...
