A Coinbase állt a legújabb GitHub-hackertámadás célkeresztjében
Nemrégiben egy GitHub Actions ellátási láncot érintő támadás középpontjában a Coinbase állt, amely során több száz titkos adat került veszélybe. A támadás a `reviewdog/action-setup@v1` GitHub Action megfertőzésével kezdődött. A hackerek módosították az akciót, hogy CI/CD-titkokat és hitelesítési tokeneket szivárogtasson a GitHub Actions naplókba.
A támadás részletei
Az első szakaszban a `reviewdog/action-setup@v1` GitHub Action kompromittálódott. Amikor a `tj-actions/eslint-changed-files` GitHub Action használta a reviewdog akciót, annak titkos adatai a munkafolyamat-naplókba kerültek.
Ez lehetővé tette a támadók számára egy személyes hozzáférési token ellopását, amelyet aztán a `tj-actions/changed-files` GitHub Action módosítására használtak, hogy az ismét CI/CD-titkokat szivárogtasson a naplókba.
Célzott támadás a Coinbase ellen
Az első rosszindulatú commit kifejezetten a Coinbase projektjeit és egy “mmvojwip” nevű felhasználói fiókot célzott, ami a támadókhoz tartozott. A `changed-files` akciót több mint 20 000 projekt használta, köztük a Coinbase `coinbase/agentkit` keretrendszere, amely MI-ügynökök és blokkláncok közötti interakciót tesz lehetővé.
A Unit 42 szerint a Coinbase agentkit munkafolyamata végrehajtotta a `changed-files` akciókat, lehetővé téve a támadóknak olyan tokenek ellopását, amelyek írási hozzáférést biztosítottak a tárolóhoz. A támadó 2025. március 14-én, 15:10 UTC-kor szerezte meg a GitHub tokent, kevesebb mint két órával a nagyobb támadás megkezdése előtt.
A Coinbase később közölte a Unit 42-vel, hogy a támadás sikertelen volt, és nem érintette az eszközeiket.
Ezen a napon ütközetek, felszabadítások és fordulópontok formálták a világot: Orléans ostromának feloldásától a Dachau koncentrációs tábor felszabadításán át a saigoni evakuálásig...
2024 első felében a bitcoin továbbra is hullámvasúton mozog: miközben sok elemző már az új bikapiacot ünnepli, a digitális valuta veterán befektetője, Michael Terpin borúsabb képet fest a következő hónapokra...
Az Arc Raiders legújabb, eddigi legnagyobb frissítése többek között elhozza az Avian Alarm projektet, amelyben madarakat kell alkalmaznod, hogy megfigyeld a szeizmikus aktivitást és a légköri változásokat Speranza területén...
Például eddig az AirPods csak egyszerű Bluetooth fülhallgatóként funkcionált Androidon, így az összes kényelmi és extra lehetőség nélkül kellett beérniük a felhasználóknak...
🎮 Tim Cain, a Fallout egyik megálmodója közel harminc év után ismét felbukkanna a játékfejlesztés színpadán, még egyszer, utoljára, mielőtt végleg visszavonulna...
🛡 Fontos kérdés, hogyan lehet helyreállítani a decentralizált pénzügyi (DeFi) rendszerekbe vetett bizalmat, amikor egyetlen támadás több százmillió dolláros rést üt a rendszerbe...
🔬 A NASA Curiosity marsjárója lenyűgöző változatosságú szerves molekulákra bukkant a Marson, köztük olyan vegyületekre is, amelyek a földi élet kémiai alapjaival rokoníthatók...
A Galaxy Digital az első negyedéves veszteségét sikeresen csökkentette, és most új, izgalmas területen terjeszkedik: Texasban és a mesterségesintelligencia-adatközpontok irányába...
A világ egyik legizgalmasabb technológiai újdonsága készül Melbourne-ben: egy ausztrál startup laborban növesztett emberi idegsejtekkel működő adatközpontot fejleszt, amely a hagyományos szilíciumchipek mellé biológiai processzort is beilleszt...
💤 Az álmok nemcsak spontán jelennek meg éjszaka, hanem valójában agyunk kreatív remixei: személyiségünk és élményeink összefonódásából egészen új, néha szürreális történeteket alkotnak...
🌕 Az Indonéziában, Szumátra szigetén kígyózó Rokan-folyó torkolatában egészen különleges látvány tárult a Landsat 8 műhold elé: a vízben lebegő üledék látványos, ecsetvonásszerű rajzolatokat festett a felszínre...
🔥 Jellemző példa erre, hogy a 2006-os kultikus vígjáték folytatására hihetetlenül sokat kellett várni: a divat világát kifigurázó Az ördög Pradát visel (The Devil Wears Prada) második része május 1-jén debütál a mozikban világszerte...
🔫 Többek között közel 2400, a Perzsa-öböl térségében szolgáló amerikai tengerészgyalogos személyes adatait hozta nyilvánosságra egy iráni kiberbanda, amely már hónapok óta szervezi támadásait...
🔥 Több PlayStation-felhasználó igazi rémálomként élte meg, hogy a Sony digitális boltjából vásárolt játékoknál feltűnt egy új, 30 napos licencellenőrzési kötelezettség...
Az év eleji menetelés után a bitcoin ára a héten 28 millió forint (76 500 dollár) környékére húzódott vissza, messze az áhított 29,5 milliós (80 000 dollár) árfolyamtól...
Izrael első hivatalosan szabályozott stabilcoinja elindult: a Bits of Gold nevű tel-avivi kriptotőzsde két évnyi tesztidőszak után megkapta az engedélyt, így már stabilcoint bocsáthat ki a helyi pénznemhez, a sékelhez kötve...
💡 Az utóbbi években rengeteg fiatal, főként a Z generáció tagjai, épp arra ébrednek rá, mennyire semmivé vált az a tudás, amivel az iskolapadból kikerültek...
