ChainCatcher 消息，慢霧餘弦在 X 平台發文稱，利用 GitHub Actions CI/CD 機制供應鏈攻擊 Coinbase，所幸沒有繼續成功，否則下一個被爆的安全事件就是針對 Coinbase 了。在 GitHub 上的供應鏈攻擊路徑：reviewdog/action-setup -> tj-actions/changed-files -> coinbase/agentkit ->竊取 GitHub Personal Access Token（PAT）、雲服務有關密鑰等。餘弦建議，如果企業用到 reviewdog 或 tj-actions，應該進行自查。

ChainCatcher 消息，据 Bitcoin.com 報導，一項隱秘的惡意軟體活動正透過在 Github 上的虛假開源專案中嵌入惡意代碼來劫持加密錢包，誘騙開發人員執行隱藏的有效載荷。一個名為 Gitvenom 的網路攻擊活動一直透過將惡意代碼嵌入看似合法的開源專案中來攻擊 Github 用戶。研究人員 Georgy Kucherin 和 Joao Godinho 發現了這一行動，網路犯罪分子會創建模仿真實軟體工具的欺詐性儲存庫。根據虛假專案中使用的程式語言，惡意代碼的嵌入方式也有所不同。

ChainCatcher 消息，据 CoinDesk 報導， Kaspersky （卡巴斯基）發現黑客正利用 GitHub 進行" GitVenom "攻擊，該活動已活躍至少兩年，並呈上升趨勢。黑客創建偽裝成合法項目的 GitHub 代碼庫，例如用於管理比特幣錢包的 Telegram 機器人或計算機遊戲工具，但其中隱藏惡意代碼。攻擊者利用 Python 和 JavaScript 代碼植入木馬病毒，感染受害者設備後竊取密碼、加密錢包信息，並劫持比特幣交易地址。2024年 11 月，一名開發者因該攻擊損失超過40萬美元比特幣。 GitVenom 主要影響俄羅斯、巴西和土耳其等國家，並仍在全球擴散。Kaspersky 建議開發者在運行代碼前仔細審查項目真實性，警惕過度優化的 README 文件和可疑的代碼提交歷史。

ChainCatcher 消息，据 Cointelegraph 報導，網絡安全公司 Kaspersky 近日發布研究顯示，黑客正在 GitHub 平台上創建數百個虛假項目，誘騙用戶下載含有竊取加密貨幣和憑證的惡意軟件。Kaspersky 將這一惡意軟件活動命名為"GitVenom"。Kaspersky 分析師 Georgy Kucherin 在 2 月 24 日的報告中指出，這些虛假項目包括管理比特幣錢包的 Telegram 機器人和自動化 Instagram 賬戶交互工具等。黑客精心設計項目說明文件，可能使用 AI 工具生成內容，並人為增加項目"提交"次數，使項目看起來正在積極開發中。據 Kaspersky 調查，這些惡意項目至少可追溯到兩年前，無論項目如何呈現，都包含惡意組件，如通過 Telegram 上傳用戶保存的憑證、加密貨幣錢包數據和瀏覽歷史的信息竊取工具，以及替換加密錢包地址的剪貼板劫持器。2023 年 11 月，一名用戶因此損失了 5 比特幣（約 44.2 萬美元）。Kaspersky 建議用戶在下載前仔細檢查第三方代碼的行為。

ChainCatcher 消息，据金十報導，開源大模型項目 DeepSeek-V3 在 GitHub 平臺獲得 7.77 萬星標記（Star），超越 OpenAI 成為平臺最受歡迎的 AI 項目。截至 2 月 7 日下午 2 點統計數據顯示，其他主流開源大模型項目中，Meta 的 Llama 系列最高獲得 5.75 萬星，阿里雲 Qwen2.5 獲得 1.49 萬星，零一萬物的 Yi 獲得 7800 星。

ChainCatcher 消息，据 GitHub 數據，由 ai16z 團隊開發的自主代理框架 Eliza 在 GitHub 12 月趨勢榜中位居榜首，本月新增 4,531 顆星標，累計獲得 7,015 顆星標。據悉，Eliza 核心工程團隊正在準備開始新的 Eliza 框架 v2 升級。Eliza v2 將改進架構和可擴展性，並為 Eliza 智能體的合作夥伴插件生態系統奠定即插即用的基礎。

ChainCatcher 消息，据 Starknet 官方消息，2024 年 9 月 GitHub 上活躍的 Cairo 開發者總數達到 2023 年 1 月以來新高。

ChainCatcher 消息，据 CoinDesk 報導，十幾家加密貨幣公司在不知情的情況下雇用瞭朝鮮民主主義人民共和國（DPRK）的 IT 員工，其中包括 Injective、ZeroLend、Fantom、Sushi、Yearn Finance 和 Cosmos Hub 等成熟的區塊鏈項目。這些工人使用假身份證，成功通過面試，通過了背景調查，並提供了真實的工作經歷。在美國和其他制裁朝鮮的國家，雇用朝鮮工人是違法的，多個公司雇用朝鮮 IT 員工並隨後遭到黑客攻擊。著名區塊鏈開發商 Zaki Manian 表示："每個人都在努力過濾掉這些人。"他無意中雇用了兩名朝鮮 IT 員工來幫助開發 2021 年的 Cosmos Hub 區塊鏈。美國當局最近加強了警告，稱朝鮮信息技術 (IT) 工人正在滲透科技公司，並利用所得資金資助核武器計劃。一項調查顯示朝鮮求職者特別積極和頻繁地瞄準加密貨幣公司------成功地通過面試、通過背景調查，甚至在開源軟件存儲庫 GitHub 上展示令人印象深刻的代碼貢獻歷史。

ChainCatcher 消息，由 Paradigm 和 Lido 投資的再質押協議 Symbiotic 於 X 發文表示，其核心合約（core contracts）已上線 GitHub，標誌著再質押協議中的首次罰沒（slashing）代碼部署。該代碼可能會發生變更，並將接受來自 Statemind、Chainsecurity、Zellic、Osec 和 Certora 的 5 項獨立審計。官方表示，開放代碼庫可以讓任何人開始探索使用 Symbiotic 進行構建的可能性。此外，完全的 Devnet 即將發布。

ChainCatcher 消息，Web3 流媒體應用 Unlonely 的聯合創始人 Brian Guan 表示，他錯誤的在 GitHub 上公開了一個包含其錢包私鑰的存儲庫，導致該錢包 2 分鐘內即被盜空，損失了 4 萬美元。

ChainCatcher 消息，据 Taiko 在 X 平台發文稱，對於有資格獲得 TAIKO 空投的貢獻者，綁定 GitHub 帳戶以接收空投分配的截止日期是 UTC 時間今天 13：00 點，即北京時間今晚 9 點。

ChainCatcher 消息，Eigenlayer 在 GitHub 上發布白皮書，並介紹 EIGEN 代幣的結構。EIGEN 可以充當通用的主體間工作代幣（intersubjective work token）。工作代幣是指需要抵押（即鎖定）以執行某些工作的代幣。EIGEN 增強了可通過 EigenLayer 保護的主動驗證服務（AVS）集，與 ETH 具有完全互補的作用，即，ETH 質押支持客觀故障削減，EIGEN 質押支持主體間故障削減。

ChainCatcher 消息，安全研究員 dm 在社交平台發文表示：Github 上某 Web3 開源項目可偷取用戶 Solana 私鑰的。對此，慢霧創始人余弦在 X 平台發文評論："該開源 bot 有偷私鑰後門代碼，如果你不熟悉代碼，看到開源項目代碼中存在亂碼就需要提高警惕了。"

ChainCatcher 消息，据官方消息，Polygon zkEVM 主網 Beta 測試版升級的 10 天時間鎖已啟動，包含 Elderberry 提案和升級合約的交易信息已經在 GitHub 和 Etherscan 發佈。Polygon 表示 Elderberry 升級現已在測試網上發佈，假設網絡穩定，Elderberry 可能會在 3 月 7 日左右在主網上上線。據悉，新升級對 ROM 進行了重要優化，將減少網絡上的某些計數器外錯誤，並對上個月的 Etrog 升級進行了一些額外的修復。