github

ChainCatcher 消息，据市場消息，安全平台 OX Security 披露，AI 代理項目 OpenClaw 的開發者正成為加密貨幣釣魚活動的目標。攻擊者創建虛假 GitHub 帳號，在攻擊者控制的倉庫中發起議題並 @ 數十名開發者，聲稱其贏得 5000 美元 CLAW 代幣獎勵，並引導至與 openclaw.ai 幾乎完全相同的克隆網站。該釣魚網站多了一個"連接錢包"按鈕，旨在竊取連接的錢包資產。惡意代碼隱藏在經過深度混淆的 JavaScript 文件中，具備清除瀏覽器本地存儲數據的"nuke"功能以阻礙取證分析，並將錢包地址、交易值等信息編碼後傳回 C2 伺服器。研究者識別出一個疑似用於接收被盜資金的加密錢包地址。相關帳號上週創建，數小時內即被刪除，目前尚無確認受害者。OpenClaw 因其高關注度已成為詐騙分子的目標，其 Discord 社區此前也遭遇大量加密貨幣垃圾信息。此前消息，OpenClaw 創始人提醒稱，警惕假冒 OpenClaw 名義發送的加密貨幣詐騙郵件。

ChainCatcher 消息，OpenClaw 創始人 Peter Steinberger 發文抨擊 GitHub 安全漏洞報告流程存在多項問題，他指出目前漏洞報告僅對管理員開放訪問權限，導致團隊內部難以有效分發和協作處理。此外 GitHub 在漏洞報告方面 API 功能不足，無法通過自動化代理讀取或發布評論，這限制了安全響應流程的自動化能力，Peter Steinberger 還特別指出當前漏洞報告中充斥大量 AI 生成的低質量內容，需要花費數小時進行篩選，進一步增加了安全處理工作的負擔。

ChainCatcher 消息，Pump.fun 宣布上線 GitHub 創作者費用共享功能，用戶現在可以通過 Pump.fun 移動應用將創作者費用分配給任何 GitHub 帳戶。更多社交功能即將推出。

ChainCatcher 消息，ClawdBot（現更名為 Moltbot）創始人 Peter Steinberger 在社交媒體發文表示，其 GitHub 賬戶劫持問題已經解決，此問題僅影響個人賬戶而非組織賬戶。他特別提醒用戶警惕約 20 個冒充的 X 詐騙賬號。

ChainCatcher 消息，据澎湃新聞報導，近日有消息稱，騰訊已正式向 GitHub（全球最大代碼托管與協作平台）發出投訴函，要求下架一批 "允許用戶導出或分析自己微信聊天記錄" 的開源項目。其中，部分較受關注的項目負責人公開表示，在法律壓力下，項目被迫停止維護。騰訊方面回應，部分讀取微信聊天記錄的開源項目，是通過對微信客戶端進行逆向工程等手段，破解本地數據庫的密鑰，以繞過微信客戶端的加密措施，威脅用戶本人及第三方數據隱私及客戶端安全，且極易被黑灰產利用。

ChainCatcher 消息，Solana 聯合創始人 Anatoly Yakovenko 在 Solana Breakpoint 大會上表示，"我最喜歡的一點就是：去中心化並不是沒有領導者，而是領導者的豐富湧現。過去五年裡，有太多人站了出來------來自基金會、Labs 的人，也有完全不屬於這些初始組織的社區成員、應用和協議的建設者------他們真正承擔起了整個網絡的領導角色。發展到如今，我甚至已經沒有 GitHub 的提交權限了，我上台講話也就花了兩分鐘。我的目標就是坐在觀眾席裡------我覺得這意味著看到整個網絡真正成熟、擁有自己的生命。我對此感到非常自豪。"

ChainCatcher 消息，据 0xkatz.era 稱，Gitcoin 出現假冒釣魚公告，攻擊者通過 GitHub 原生通知系統向大量用戶發送垃圾信息。受影響用戶在點擊相關組織鏈接時發現頁面已無法訪問。部分用戶已向 GitHub 報告該帳號及相關問題，提醒社區提高警惕，防範釣魚風險。

ChainCatcher 消息，据慢霧安全團隊，7 月 2 日一名受害者稱其前一天使用了一個托管在 GitHub 上的開源項目 ------ zldp2002/solana-pumpfun-bot，隨後加密資產被盜。經慢霧分析，本次攻擊事件中，攻擊者通過偽裝為合法開源項目(solana-pumpfun-bot)，誘導用戶下載並運行惡意代碼。在刷高項目熱度的掩護下，用戶在毫無防備的情況下運行了攜帶惡意依賴的 Node.js 項目，導致錢包私鑰泄露、資產被盜。整個攻擊鏈條涉及多個 GitHub 帳號協同操作，擴大了傳播範圍，提升了可信度，極具欺騙性。同時，這類攻擊通過社會工程與技術手段雙管齊下，在組織內部也很難完全防禦。慢霧建議開發者與用戶高度警惕來路不明的 GitHub 項目，尤其是在涉及錢包或私鑰操作時。如果確實需要運行調試，建議在獨立且沒有敏感數據的機器環境運行和調試。

ChainCatcher 消息，据 OpenAI Developers，ChatGPT 現已支持連接 GitHub 代碼庫執行深度研究。用戶可提問並由 AI 分析源代碼及 PR 記錄，生成帶引用的詳細報告。該功能通過"deep research → GitHub"入口啟動，旨在提升開發者的代碼理解與審查效率。

ChainCatcher 消息，慢霧餘弦在 X 平台發文稱，利用 GitHub Actions CI/CD 機制供應鏈攻擊 Coinbase，所幸沒有繼續成功，否則下一個被爆的安全事件就是針對 Coinbase 了。在 GitHub 上的供應鏈攻擊路徑：reviewdog/action-setup -> tj-actions/changed-files -> coinbase/agentkit ->竊取 GitHub Personal Access Token（PAT）、雲服務有關密鑰等。餘弦建議，如果企業用到 reviewdog 或 tj-actions，應該進行自查。

ChainCatcher 消息，据 Bitcoin.com 報導，一項隱秘的惡意軟體活動正透過在 Github 上的虛假開源專案中嵌入惡意代碼來劫持加密錢包，誘騙開發人員執行隱藏的有效載荷。一個名為 Gitvenom 的網路攻擊活動一直透過將惡意代碼嵌入看似合法的開源專案中來攻擊 Github 用戶。研究人員 Georgy Kucherin 和 Joao Godinho 發現了這一行動，網路犯罪分子會創建模仿真實軟體工具的欺詐性儲存庫。根據虛假專案中使用的程式語言，惡意代碼的嵌入方式也有所不同。

ChainCatcher 消息，据 CoinDesk 報導， Kaspersky （卡巴斯基）發現黑客正利用 GitHub 進行" GitVenom "攻擊，該活動已活躍至少兩年，並呈上升趨勢。黑客創建偽裝成合法項目的 GitHub 代碼庫，例如用於管理比特幣錢包的 Telegram 機器人或計算機遊戲工具，但其中隱藏惡意代碼。攻擊者利用 Python 和 JavaScript 代碼植入木馬病毒，感染受害者設備後竊取密碼、加密錢包信息，並劫持比特幣交易地址。2024年 11 月，一名開發者因該攻擊損失超過40萬美元比特幣。 GitVenom 主要影響俄羅斯、巴西和土耳其等國家，並仍在全球擴散。Kaspersky 建議開發者在運行代碼前仔細審查項目真實性，警惕過度優化的 README 文件和可疑的代碼提交歷史。

ChainCatcher 消息，据 Cointelegraph 報導，網絡安全公司 Kaspersky 近日發布研究顯示，黑客正在 GitHub 平台上創建數百個虛假項目，誘騙用戶下載含有竊取加密貨幣和憑證的惡意軟件。Kaspersky 將這一惡意軟件活動命名為"GitVenom"。Kaspersky 分析師 Georgy Kucherin 在 2 月 24 日的報告中指出，這些虛假項目包括管理比特幣錢包的 Telegram 機器人和自動化 Instagram 賬戶交互工具等。黑客精心設計項目說明文件，可能使用 AI 工具生成內容，並人為增加項目"提交"次數，使項目看起來正在積極開發中。據 Kaspersky 調查，這些惡意項目至少可追溯到兩年前，無論項目如何呈現，都包含惡意組件，如通過 Telegram 上傳用戶保存的憑證、加密貨幣錢包數據和瀏覽歷史的信息竊取工具，以及替換加密錢包地址的剪貼板劫持器。2023 年 11 月，一名用戶因此損失了 5 比特幣（約 44.2 萬美元）。Kaspersky 建議用戶在下載前仔細檢查第三方代碼的行為。

ChainCatcher 消息，据金十報導，開源大模型項目 DeepSeek-V3 在 GitHub 平臺獲得 7.77 萬星標記（Star），超越 OpenAI 成為平臺最受歡迎的 AI 項目。截至 2 月 7 日下午 2 點統計數據顯示，其他主流開源大模型項目中，Meta 的 Llama 系列最高獲得 5.75 萬星，阿里雲 Qwen2.5 獲得 1.49 萬星，零一萬物的 Yi 獲得 7800 星。

ChainCatcher 消息，据 GitHub 數據，由 ai16z 團隊開發的自主代理框架 Eliza 在 GitHub 12 月趨勢榜中位居榜首，本月新增 4,531 顆星標，累計獲得 7,015 顆星標。據悉，Eliza 核心工程團隊正在準備開始新的 Eliza 框架 v2 升級。Eliza v2 將改進架構和可擴展性，並為 Eliza 智能體的合作夥伴插件生態系統奠定即插即用的基礎。

ChainCatcher 消息，据 Starknet 官方消息，2024 年 9 月 GitHub 上活躍的 Cairo 開發者總數達到 2023 年 1 月以來新高。