A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
💣 Miközben a kvantumszámítástechnika legújabb áttöréseit ünnepelte a tudományos világ, egy fizikuscsoport gondos ismétlőkísérletekkel alapjaiban kérdőjelezte meg az eredményeket...
👀 Forgalmas városi utcákon már megszokott látvány a biztonsági kamerák jelenléte, de kevesen gondolták volna, hogy ezek a kamerák egy nap majd a tömeges megfigyelés eszközeivé válnak...
A YouTube és a Meta jelentős perekben veszítettek a közösségi médiafüggőség miatt, amelyek komoly változásokat indíthatnak el az online platformokon...
Egy ködös téli napon Austin repülőterén három évvel ezelőtt majdnem katasztrófa történt: egy FedEx teherszállító gép hajszál híján egy utasokkal teli Southwest Airlines gépnek ütközött, miután mindkettő ugyanarra a kifutóra kapott engedélyt...
🛰 Érdemes megemlíteni, hogy a GPS és más hasonló rendszerek már eddig is forradalmasították, milyen egyszerűen és pontosan lehet meghatározni bármilyen földi pontot...
🕵 Az FBI igazgatója, Kash Patel személyes Gmail-fiókját iráni kapcsolatokkal rendelkező Handala hackercsoport törte fel, és a szerzett információkat – köztük fotókat, privát dokumentumokat, valamint levelezéseket – nyilvánosságra hozták...
🙁 Bár az új Pixel 10a március óta elérhető, súlyos hibákkal eddig nem találkoztak a magyar felhasználók, néhány apróbb, idegesítő problémával azonban továbbra is számolni kell – ahogy az már megszokott egy frissen piacra dobott telefonnál...
A közelmúltban a digitális óriások eltökélten haladtak afelé, hogy működésüket teljes egészében megújuló energiára állítsák át, ezzel is hozzájárulva a klímaváltozás elleni harchoz...
Érdemes megvizsgálni, hogy mennyire éri meg az új iPhone 17E-t választani, ha nagyjából hasonló áron, akár még jobb alternatívák is léteznek a korábbi iPhone-modellek között...
Az elektrosztatikus jelenségeket mindenki ismeri: ha lufit dörzsölsz a hajadhoz, a hajszálak szétállnak, vagy egy szőnyegen végigsétálva apró kisülésekkel sokkolsz másokat...
Tipikus példa arra, amikor az MI nemcsak gyorsít, hanem új szintre emeli a gyógyszerkutatást: az amerikai gyógyszeróriás, az Eli Lilly, 1000 milliárd forintos (2,75 milliárd USD) szerződést kötött a hongkongi Insilico Medicine-nel, hogy világszerte elérhetővé tegyék a mesterséges intelligencia által fejlesztett gyógyszereket...
