github

ChainCatcher 消息，慢雾 SlowMist 发布安全警报，检测到一起活跃的 npm 供应链攻击，目标是 @redhat-cloud-services 相关软件包。目前已确认 31+ 个包受影响，周下载量约 11.6 万次，超过 300 个 GitHub 仓库中存在被盗凭证。该攻击手法与此前“Shai-Hulud”npm 攻击高度相似，包括凭证窃取、创建恶意仓库及自动化秘密外泄。目前仍有新的可疑仓库持续出现，表明攻击仍在进行中，开发者仍在被持续感染。 潜在危害包括：GitHub/npm token 被盗、AWS/GCP/Azure 云凭证泄露、SSH 密钥和 Kubernetes 秘密收集、本地环境及钱包数据外泄、恶意仓库创建及持久化操作，甚至在 token 被吊销后可能引发破坏性行为。建议立即移除或降级受影响的 @redhat-cloud-services 包版本，全面审计 CI/CD 工作流和依赖安装，轮换所有 GitHub、npm、云服务、SSH 及钱包相关密钥，保留日志，并从干净镜像重建已暴露的开发者机器或 Runner，同时保持高度警惕。

ChainCatcher 消息，据 GoPlus 监测，黑客组织 TeamPCP 声称已拿到 GitHub 内部约 4000 个私有仓库中的源代码，并在地下论坛上标价 5 万美元进行出售，并支持样本验证。如果没人买，后续可能会免费公开这批数据。此前消息，GitHub 官方确认正在调查此次的“内部仓库的未经授权访问”问题，疑似 GitHub 员工设备上安装了恶意 VS Code/AI Coding 插件。

ChainCatcher 消息，据慢雾发布的威胁情报，近期多个高频 npm 包包括 AntV 和 Echarts-for-react 以及 Python SDK durabletask 遭到 Mini Shai-Hulud “迷你沙虫”供应链攻击。npm 账号 atool 被入侵，攻击者在 22 分钟内自动发布了 637 个恶意版本，涉及 317 个包。攻击者在 35 分钟内连续上传 durabletask 1.4.1、1.4.2 和 1.4.3 版本，绕过正常发布控制并冒充微软官方发布。 GitHub token 大规模泄露事件和 Grafana Labs 遭勒索攻击很可能与此供应链攻击相关。受影响组件包括 npm 生态系统中的 AntV、Echarts-for-react 等高频组件，以及 Python 包 durabletask 1.4.1、1.4.2 和 1.4.3。攻击者可窃取云和本地凭证、未经授权访问内部仓库和敏感云基础设施、横向移动至开发者机器和 CI/CD 管道、销售和利用泄露的 GitHub token、实施勒索和数据泄露威胁。 慢雾建议立即轮换所有暴露的凭证，替换受影响的包，隔离可能受感染的系统，并实施严格依赖审查政策。此前消息，“迷你沙虫”蠕虫近期在开源代码库里完成大面积感染，开发者需注意排查。

ChainCatcher 消息，GitHub 发文更新了关于内部仓库未授权访问事件的调查细节：GitHub 昨日检测并控制了一起员工设备遭入侵的事件，该事件涉及一个被植入恶意程序的 VS Code 扩展。GitHub 移除了恶意扩展程序，隔离了受影响的终端，并立即启动了事件响应。目前评估显示，仅 GitHub 内部仓库存在数据外传，攻击者声称的约 3800 个仓库数量与调查结果大致一致。GitHub 已优先轮换关键凭证，正在分析日志、验证凭证轮换并监控后续活动，调查完成后将发布完整报告。此外，慢雾首席信息安全官 23pds 针对此事件发文称：“通过分析网络犯罪论坛的爆料，黑客可能用 Anthropic 的 Mythos 安全 AI，用它精准突破 GitHub 的防线，偷走约 4000 个核心内部仓库：里面有 Copilot 的源码、CodeQL 的算法、Actions 运行时和整个计费系统等信息。后续分析这些代码，可能会再次攻击，对整合开源社区产生深远安全影响。”

ChainCatcher 消息，针对 GitHub 披露的内部代码库未授权访问事件，赵长鹏发文提醒称：“如果代码中包含 API Key，即使位于私有仓库，也应立即复查并更换。”

ChainCatcher 消息，GitHub 官方表示，正在调查一起针对其内部代码库的未授权访问事件。GitHub 称，目前尚无证据表明客户存储在 GitHub 平台外部的企业、组织或代码仓库数据受到影响，但公司正在持续监控基础设施，以防出现进一步异常活动。 GitHub 表示，若后续确认存在用户数据或服务受影响情况，将通过既有事件响应与通知渠道向客户进行通报。

ChainCatcher 消息，开源数据可视化工具 Grafana 在 X 平台发文表示，近期发现一名未经授权的攻击者获取了可访问 Grafana Labs GitHub 环境的 Token，并借此下载代码库。 经调查确认，此次事件未涉及客户数据或个人信息泄露，也没有发现客户系统或业务运营受到影响，事件发生后已立即启动取证分析，并认为已定位凭证泄露源头，同时已部署额外安全措施以加强环境防护。 此外，Grafana 披露攻击者曾试图通过勒索方式要求支付赎金以阻止代码库被公开，但公司最终决定拒绝支付赎金，待调查结束后将公布更多事件复盘信息。

ChainCatcher 消息，腾讯公关总监张军今日发文称，3 月 30 日，企业微信 CLI 开源项目上架 GitHub 社区，开放消息、日程、文档、智能表、会议、待办、通讯录等七大核心产品能力，支持主流 AIAgent（如 ClaudeCode、Codex、WorkBuddy、QClaw 等）调用。 开发者可基于这些能力，让 AIAgent 能以更自然的方式理解和调用企业微信能力，快速开发更贴近日常办公场景的 AI 应用。

ChainCatcher 消息，据市场消息，安全平台 OX Security 披露，AI 代理项目 OpenClaw 的开发者正成为加密货币钓鱼活动的目标。攻击者创建虚假 GitHub 账号，在攻击者控制的仓库中发起议题并 @ 数十名开发者，声称其赢得 5000 美元 CLAW 代币奖励，并引导至与 openclaw.ai 几乎完全相同的克隆网站。该钓鱼网站多了一个“连接钱包”按钮，旨在窃取连接的钱包资产。恶意代码隐藏在经过深度混淆的 JavaScript 文件中，具备清除浏览器本地存储数据的“nuke”功能以阻碍取证分析，并将钱包地址、交易值等信息编码后传回 C2 服务器。研究者识别出一个疑似用于接收被盗资金的加密钱包地址。相关账号上周创建，数小时内即被删除，目前尚无确认受害者。OpenClaw 因其高关注度已成为诈骗分子的目标，其 Discord 社区此前也遭遇大量加密货币垃圾信息。此前消息，OpenClaw 创始人提醒称，警惕假冒 OpenClaw 名义发送的加密货币诈骗邮件。

ChainCatcher 消息，OpenClaw 创始人 Peter Steinberger 发文抨击 GitHub 安全漏洞报告流程存在多项问题，他指出目前漏洞报告仅对管理员开放访问权限，导致团队内部难以有效分发和协作处理。 此外 GitHub 在漏洞报告方面 API 功能不足，无法通过自动化代理读取或发布评论，这限制了安全响应流程的自动化能力，Peter Steinberger 还特别指出当前漏洞报告中充斥大量 AI 生成的低质量内容，需要花费数小时进行筛选，进一步增加了安全处理工作的负担。

ChainCatcher 消息，Pump.fun 宣布上线 GitHub 创建者费用共享功能，用户现在可以通过 Pump.fun 移动应用将创建者费用分配给任何 GitHub 帐户。更多社交功能即将推出。

ChainCatcher 消息，ClawdBot（现更名为 Moltbot）创始人 Peter Steinberger 在社交媒体发文表示，其 GitHub 账户劫持问题已经解决，此问题仅影响个人账户而非组织账户。他特别提醒用户警惕约 20 个冒充的 X 诈骗账号。

ChainCatcher 消息，据澎湃新闻报道，近日有消息称，腾讯已正式向 GitHub（全球最大代码托管与协作平台）发出投诉函，要求下架一批 “允许用户导出或分析自己微信聊天记录” 的开源项目。其中，部分较受关注的项目负责人公开表示，在法律压力下，项目被迫停止维护。腾讯方面回应，部分读取微信聊天记录的开源项目，是通过对微信客户端进行逆向工程等手段，破解本地数据库的密钥，以绕过微信客户端的加密措施，威胁用户本人及第三方数据隐私及客户端安全，且极易被黑灰产利用。

ChainCatcher 消息，Solana 联合创始人 Anatoly Yakovenko 在 Solana Breakpoint 大会上表示，“我最喜欢的一点就是：去中心化并不是没有领导者，而是领导者的丰富涌现。过去五年里，有太多人站了出来——来自基金会、Labs 的人，也有完全不属于这些初始组织的社区成员、应用和协议的建设者——他们真正承担起了整个网络的领导角色。 发展到如今，我甚至已经没有 GitHub 的提交权限了，我上台讲话也就花了两分钟。我的目标就是坐在观众席里——我觉得这意味着看到整个网络真正成熟、拥有自己的生命。我对此感到非常自豪。”

ChainCatcher 消息，据 0xkatz.era 称，Gitcoin 出现假冒钓鱼公告，攻击者通过 GitHub 原生通知系统向大量用户发送垃圾信息。受影响用户在点击相关组织链接时发现页面已无法访问。部分用户已向 GitHub 举报该账号及相关问题，提醒社区提高警惕，防范钓鱼风险。

ChainCatcher 消息，据慢雾安全团队，7 月 2 日一名受害者称其前一天使用了一个托管在 GitHub 上的开源项目 —— zldp2002/solana-pumpfun-bot，随后加密资产被盗。经慢雾分析，本次攻击事件中，攻击者通过伪装为合法开源项目(solana-pumpfun-bot)，诱导用户下载并运行恶意代码。在刷高项目热度的掩护下，用户在毫无防备的情况下运行了携带恶意依赖的 Node.js 项目，导致钱包私钥泄露、资产被盗。整个攻击链条涉及多个 GitHub 账号协同操作，扩大了传播范围，提升了可信度，极具欺骗性。同时，这类攻击通过社会工程与技术手段双管齐下，在组织内部也很难完全防御。 慢雾建议开发者与用户高度警惕来路不明的 GitHub 项目，尤其是在涉及钱包或私钥操作时。如果确实需要运行调试，建议在独立且没有敏感数据的机器环境运行和调试。

ChainCatcher 消息，据 OpenAI Developers，ChatGPT 现已支持连接 GitHub 代码库执行深度研究。用户可提问并由 AI 分析源代码及 PR 记录，生成带引用的详细报告。 该功能通过“deep research → GitHub”入口启动，旨在提升开发者的代码理解与审查效率。