github

ChainCatcher 消息，ClawdBot（現更名為 Moltbot）創始人 Peter Steinberger 在社交媒體發文表示，其 GitHub 賬戶劫持問題已經解決，此問題僅影響個人賬戶而非組織賬戶。他特別提醒用戶警惕約 20 個冒充的 X 詐騙賬號。

ChainCatcher 消息，据澎湃新聞報導，近日有消息稱，騰訊已正式向 GitHub（全球最大代碼托管與協作平台）發出投訴函，要求下架一批 "允許用戶導出或分析自己微信聊天記錄" 的開源項目。其中，部分較受關注的項目負責人公開表示，在法律壓力下，項目被迫停止維護。騰訊方面回應，部分讀取微信聊天記錄的開源項目，是通過對微信客戶端進行逆向工程等手段，破解本地數據庫的密鑰，以繞過微信客戶端的加密措施，威脅用戶本人及第三方數據隱私及客戶端安全，且極易被黑灰產利用。

ChainCatcher 消息，Solana 聯合創始人 Anatoly Yakovenko 在 Solana Breakpoint 大會上表示，"我最喜歡的一點就是：去中心化並不是沒有領導者，而是領導者的豐富湧現。過去五年裡，有太多人站了出來------來自基金會、Labs 的人，也有完全不屬於這些初始組織的社區成員、應用和協議的建設者------他們真正承擔起了整個網絡的領導角色。發展到如今，我甚至已經沒有 GitHub 的提交權限了，我上台講話也就花了兩分鐘。我的目標就是坐在觀眾席裡------我覺得這意味著看到整個網絡真正成熟、擁有自己的生命。我對此感到非常自豪。"

ChainCatcher 消息，据 0xkatz.era 稱，Gitcoin 出現假冒釣魚公告，攻擊者通過 GitHub 原生通知系統向大量用戶發送垃圾信息。受影響用戶在點擊相關組織鏈接時發現頁面已無法訪問。部分用戶已向 GitHub 報告該帳號及相關問題，提醒社區提高警惕，防範釣魚風險。

ChainCatcher 消息，据慢霧安全團隊，7 月 2 日一名受害者稱其前一天使用了一個托管在 GitHub 上的開源項目 ------ zldp2002/solana-pumpfun-bot，隨後加密資產被盜。經慢霧分析，本次攻擊事件中，攻擊者通過偽裝為合法開源項目(solana-pumpfun-bot)，誘導用戶下載並運行惡意代碼。在刷高項目熱度的掩護下，用戶在毫無防備的情況下運行了攜帶惡意依賴的 Node.js 項目，導致錢包私鑰泄露、資產被盜。整個攻擊鏈條涉及多個 GitHub 帳號協同操作，擴大了傳播範圍，提升了可信度，極具欺騙性。同時，這類攻擊通過社會工程與技術手段雙管齊下，在組織內部也很難完全防禦。慢霧建議開發者與用戶高度警惕來路不明的 GitHub 項目，尤其是在涉及錢包或私鑰操作時。如果確實需要運行調試，建議在獨立且沒有敏感數據的機器環境運行和調試。

ChainCatcher 消息，据 OpenAI Developers，ChatGPT 現已支持連接 GitHub 代碼庫執行深度研究。用戶可提問並由 AI 分析源代碼及 PR 記錄，生成帶引用的詳細報告。該功能通過"deep research → GitHub"入口啟動，旨在提升開發者的代碼理解與審查效率。

ChainCatcher 消息，慢霧餘弦在 X 平台發文稱，利用 GitHub Actions CI/CD 機制供應鏈攻擊 Coinbase，所幸沒有繼續成功，否則下一個被爆的安全事件就是針對 Coinbase 了。在 GitHub 上的供應鏈攻擊路徑：reviewdog/action-setup -> tj-actions/changed-files -> coinbase/agentkit ->竊取 GitHub Personal Access Token（PAT）、雲服務有關密鑰等。餘弦建議，如果企業用到 reviewdog 或 tj-actions，應該進行自查。

ChainCatcher 消息，据 Bitcoin.com 報導，一項隱秘的惡意軟體活動正透過在 Github 上的虛假開源專案中嵌入惡意代碼來劫持加密錢包，誘騙開發人員執行隱藏的有效載荷。一個名為 Gitvenom 的網路攻擊活動一直透過將惡意代碼嵌入看似合法的開源專案中來攻擊 Github 用戶。研究人員 Georgy Kucherin 和 Joao Godinho 發現了這一行動，網路犯罪分子會創建模仿真實軟體工具的欺詐性儲存庫。根據虛假專案中使用的程式語言，惡意代碼的嵌入方式也有所不同。

ChainCatcher 消息，据 CoinDesk 報導， Kaspersky （卡巴斯基）發現黑客正利用 GitHub 進行" GitVenom "攻擊，該活動已活躍至少兩年，並呈上升趨勢。黑客創建偽裝成合法項目的 GitHub 代碼庫，例如用於管理比特幣錢包的 Telegram 機器人或計算機遊戲工具，但其中隱藏惡意代碼。攻擊者利用 Python 和 JavaScript 代碼植入木馬病毒，感染受害者設備後竊取密碼、加密錢包信息，並劫持比特幣交易地址。2024年 11 月，一名開發者因該攻擊損失超過40萬美元比特幣。 GitVenom 主要影響俄羅斯、巴西和土耳其等國家，並仍在全球擴散。Kaspersky 建議開發者在運行代碼前仔細審查項目真實性，警惕過度優化的 README 文件和可疑的代碼提交歷史。

ChainCatcher 消息，据 Cointelegraph 報導，網絡安全公司 Kaspersky 近日發布研究顯示，黑客正在 GitHub 平台上創建數百個虛假項目，誘騙用戶下載含有竊取加密貨幣和憑證的惡意軟件。Kaspersky 將這一惡意軟件活動命名為"GitVenom"。Kaspersky 分析師 Georgy Kucherin 在 2 月 24 日的報告中指出，這些虛假項目包括管理比特幣錢包的 Telegram 機器人和自動化 Instagram 賬戶交互工具等。黑客精心設計項目說明文件，可能使用 AI 工具生成內容，並人為增加項目"提交"次數，使項目看起來正在積極開發中。據 Kaspersky 調查，這些惡意項目至少可追溯到兩年前，無論項目如何呈現，都包含惡意組件，如通過 Telegram 上傳用戶保存的憑證、加密貨幣錢包數據和瀏覽歷史的信息竊取工具，以及替換加密錢包地址的剪貼板劫持器。2023 年 11 月，一名用戶因此損失了 5 比特幣（約 44.2 萬美元）。Kaspersky 建議用戶在下載前仔細檢查第三方代碼的行為。

ChainCatcher 消息，据金十報導，開源大模型項目 DeepSeek-V3 在 GitHub 平臺獲得 7.77 萬星標記（Star），超越 OpenAI 成為平臺最受歡迎的 AI 項目。截至 2 月 7 日下午 2 點統計數據顯示，其他主流開源大模型項目中，Meta 的 Llama 系列最高獲得 5.75 萬星，阿里雲 Qwen2.5 獲得 1.49 萬星，零一萬物的 Yi 獲得 7800 星。

ChainCatcher 消息，据 GitHub 數據，由 ai16z 團隊開發的自主代理框架 Eliza 在 GitHub 12 月趨勢榜中位居榜首，本月新增 4,531 顆星標，累計獲得 7,015 顆星標。據悉，Eliza 核心工程團隊正在準備開始新的 Eliza 框架 v2 升級。Eliza v2 將改進架構和可擴展性，並為 Eliza 智能體的合作夥伴插件生態系統奠定即插即用的基礎。

ChainCatcher 消息，据 Starknet 官方消息，2024 年 9 月 GitHub 上活躍的 Cairo 開發者總數達到 2023 年 1 月以來新高。

ChainCatcher 消息，据 CoinDesk 報導，十幾家加密貨幣公司在不知情的情況下雇用瞭朝鮮民主主義人民共和國（DPRK）的 IT 員工，其中包括 Injective、ZeroLend、Fantom、Sushi、Yearn Finance 和 Cosmos Hub 等成熟的區塊鏈項目。這些工人使用假身份證，成功通過面試，通過了背景調查，並提供了真實的工作經歷。在美國和其他制裁朝鮮的國家，雇用朝鮮工人是違法的，多個公司雇用朝鮮 IT 員工並隨後遭到黑客攻擊。著名區塊鏈開發商 Zaki Manian 表示："每個人都在努力過濾掉這些人。"他無意中雇用了兩名朝鮮 IT 員工來幫助開發 2021 年的 Cosmos Hub 區塊鏈。美國當局最近加強了警告，稱朝鮮信息技術 (IT) 工人正在滲透科技公司，並利用所得資金資助核武器計劃。一項調查顯示朝鮮求職者特別積極和頻繁地瞄準加密貨幣公司------成功地通過面試、通過背景調查，甚至在開源軟件存儲庫 GitHub 上展示令人印象深刻的代碼貢獻歷史。

ChainCatcher 消息，由 Paradigm 和 Lido 投資的再質押協議 Symbiotic 於 X 發文表示，其核心合約（core contracts）已上線 GitHub，標誌著再質押協議中的首次罰沒（slashing）代碼部署。該代碼可能會發生變更，並將接受來自 Statemind、Chainsecurity、Zellic、Osec 和 Certora 的 5 項獨立審計。官方表示，開放代碼庫可以讓任何人開始探索使用 Symbiotic 進行構建的可能性。此外，完全的 Devnet 即將發布。

ChainCatcher 消息，Web3 流媒體應用 Unlonely 的聯合創始人 Brian Guan 表示，他錯誤的在 GitHub 上公開了一個包含其錢包私鑰的存儲庫，導致該錢包 2 分鐘內即被盜空，損失了 4 萬美元。