ChainCatcher 消息，慢雾余弦在 X 平台发文称，利用 GitHub Actions CI/CD 机制供应链攻击 Coinbase，所幸没有继续成功，否则下一个被爆的安全事件就是针对 Coinbase 了。在 GitHub 上的供应链攻击路径：reviewdog/action-setup -> tj-actions/changed-files -> coinbase/agentkit ->窃取 GitHub Personal Access Token（PAT）、云服务有关密钥等。余弦建议，如果企业用到 reviewdog 或 tj-actions，应该进行自查。

ChainCatcher 消息，据 Bitcoin.com 报道，一项隐秘的恶意软件活动正通过在 Github 上的虚假开源项目中嵌入恶意代码来劫持加密钱包，诱骗开发人员执行隐藏的有效载荷。 一个名为 Gitvenom 的网络攻击活动一直通过将恶意代码嵌入看似合法的开源项目中来攻击 Github 用户。研究人员 Georgy Kucherin 和 Joao Godinho 发现了这一行动，网络犯罪分子会创建模仿真实软件工具的欺诈性存储库。根据虚假项目中使用的编程语言，恶意代码的嵌入方式也有所不同。

ChainCatcher 消息，据 CoinDesk 报道， Kaspersky （卡巴斯基）发现黑客正利用 GitHub 进行“ GitVenom ”攻击，该活动已活跃至少两年，并呈上升趋势。黑客创建伪装成合法项目的 GitHub 代码库，例如用于管理比特币钱包的 Telegram 机器人或计算机游戏工具，但其中隐藏恶意代码。 攻击者利用 Python 和 JavaScript 代码植入木马病毒，感染受害者设备后窃取密码、加密钱包信息，并劫持比特币交易地址。2024年 11 月，一名开发者因该攻击损失超过40万美元比特币。 GitVenom 主要影响俄罗斯、巴西和土耳其等国家，并仍在全球扩散。 Kaspersky 建议开发者在运行代码前仔细审查项目真实性，警惕过度优化的 README 文件和可疑的代码提交历史。

ChainCatcher 消息，据 Cointelegraph 报道，网络安全公司 Kaspersky 近日发布研究显示，黑客正在 GitHub 平台上创建数百个虚假项目，诱骗用户下载含有窃取加密货币和凭证的恶意软件。Kaspersky 将这一恶意软件活动命名为“GitVenom”。 Kaspersky 分析师 Georgy Kucherin 在 2 月 24 日的报告中指出，这些虚假项目包括管理比特币钱包的 Telegram 机器人和自动化 Instagram 账户交互工具等。黑客精心设计项目说明文件，可能使用 AI 工具生成内容，并人为增加项目“提交”次数，使项目看起来正在积极开发中。 据 Kaspersky 调查，这些恶意项目至少可追溯到两年前，无论项目如何呈现，都包含恶意组件，如通过 Telegram 上传用户保存的凭证、加密货币钱包数据和浏览历史的信息窃取工具，以及替换加密钱包地址的剪贴板劫持器。2023 年 11 月，一名用户因此损失了 5 比特币（约 44.2 万美元）。Kaspersky 建议用户在下载前仔细检查第三方代码的行为。

ChainCatcher 消息，据金十报道，开源大模型项目 DeepSeek-V3 在 GitHub 平台获得 7.77 万星标记（Star），超越 OpenAI 成为平台最受欢迎的 AI 项目。 截至 2 月 7 日下午 2 点统计数据显示，其他主流开源大模型项目中，Meta 的 Llama 系列最高获得 5.75 万星，阿里云 Qwen2.5 获得 1.49 万星，零一万物的 Yi 获得 7800 星。

ChainCatcher 消息，据 GitHub 数据，由 ai16z 团队开发的自主代理框架 Eliza 在 GitHub 12 月趋势榜中位居榜首，本月新增 4,531 颗星标，累计获得 7,015 颗星标。 据悉，Eliza 核心工程团队正在准备开始新的 Eliza 框架 v2 升级。Eliza v2 将改进架构和可扩展性，并为 Eliza 智能体的合作伙伴插件生态系统奠定即插即用的基础。

ChainCatcher 消息，据 Starknet 官方消息，2024 年 9 月 GitHub 上活跃的 Cairo 开发者总数达到 2023 年 1 月以来新高。

ChainCatcher 消息，据 CoinDesk 报道，十几家加密货币公司在不知情的情况下雇佣了朝鲜民主主义人民共和国（DPRK）的 IT 员工，其中包括 Injective、ZeroLend、Fantom、Sushi、Yearn Finance 和 Cosmos Hub 等成熟的区块链项目。这些工人使用假身份证，成功通过面试，通过了背景调查，并提供了真实的工作经历。 在美国和其他制裁朝鲜的国家，雇用朝鲜工人是违法的，多个公司雇用朝鲜 IT 员工并随后遭到黑客攻击。著名区块链开发商 Zaki Manian 表示：“每个人都在努力过滤掉这些人。”他无意中雇佣了两名朝鲜 IT 员工来帮助开发 2021 年的 Cosmos Hub 区块链。 美国当局最近加强了警告，称朝鲜信息技术 (IT) 工人正在渗透科技公司，并利用所得资金资助核武器计划。一项调查显示朝鲜求职者特别积极和频繁地瞄准加密货币公司——成功地通过面试、通过背景调查，甚至在开源软件存储库 GitHub 上展示令人印象深刻的代码贡献历史。

ChainCatcher 消息，由 Paradigm 和 Lido 投资的再质押协议 Symbiotic 于 X 发文表示，其核心合约（core contracts）已上线 GitHub，标志着再质押协议中的首次罚没（slashing）代码部署。 该代码可能会发生变更，并将接受来自 Statemind、Chainsecurity、Zellic、Osec 和 Certora 的 5 项独立审计。 官方表示，开放代码库可以让任何人开始探索使用 Symbiotic 进行构建的可能性。此外，完全的 Devnet 即将发布。

ChainCatcher 消息，Web3 流媒体应用 Unlonely 的联合创始人 Brian Guan 表示，他错误的在 GitHub 上公开了一个包含其钱包私钥的存储库，导致该钱包 2 分钟内即被盗空，损失了 4 万美元。

ChainCatcher 消息，据 Taiko 在 X 平台发文称，对于有资格获得 TAIKO 空投的贡献者，绑定 GitHub 帐户以接收空投分配的截止日期是 UTC 时间今天 13：00 点，即北京时间今晚 9 点。

ChainCatcher 消息，Eigenlayer 在 GitHub 上发布白皮书，并介绍 EIGEN 代币的结构。EIGEN 可以充当通用的主体间工作代币（intersubjective work token）。工作代币是指需要抵押（即锁定）以执行某些工作的代币。 EIGEN 增强了可通过 EigenLayer 保护的主动验证服务（AVS）集，与 ETH 具有完全互补的作用，即，ETH 质押支持客观故障削减，EIGEN 质押支持主体间故障削减。

ChainCatcher 消息，安全研究员 dm 在社交平台发文表示：Github 上某 Web3 开源项目可偷取用户 Solana 私钥的。 对此，慢雾创始人余弦在 X 平台发文评论：“该开源 bot 有偷私钥后门代码，如果你不熟悉代码，看到开源项目代码中存在乱码就需要提高警惕了。”

ChainCatcher 消息，据官方消息，Polygon zkEVM 主网 Beta 测试版升级的 10 天时间锁已启动，包含 Elderberry 提案和升级合约的交易信息已经在 GitHub 和 Etherscan 发布。Polygon 表示 Elderberry 升级现已在测试网上发布，假设网络稳定，Elderberry 可能会在 3 月 7 日左右在主网上上线。 据悉，新升级对 ROM 进行了重要优化，将减少网络上的某些计数器外错误，并对上个月的 Etrog 升级进行了一些额外的修复。