PANews 3月19日消息，据Decrypt报道，安全平台OX Security披露，AI代理项目OpenClaw的开发者正成为加密货币钓鱼活动的目标。攻击者创建虚假GitHub账号，在攻击者控制的仓库中发起议题并@数十名开发者，声称其赢得5000美元CLAW代币奖励，并引导至与openclaw.ai几乎完全相同的克隆网站。该钓鱼网站多了一个“连接钱包”按钮，旨在窃取连接的钱包资产。 恶意代码隐 ...

据 Decrypt，攻击者使用伪造 GitHub 账号在其控制的仓库宣称获得价值 5000 美元的 CLAW 代币空投，随后引导至仿冒 openclaw.ai 的克隆站点，通过隐藏的“连接钱包”提示与高度混淆的 JavaScript 实施盗币；相关账号多在创建数小时内删除，目前暂未确认受害者，安全机构建议屏蔽相关恶意域名并避免连接未知站点钱包、已连接者及时撤销授权。

在开源生态高度繁荣的今天，一行代码、一个权限、一款插件，都可能成为引爆供应链安全危机的导火索。本文作者亲历了自己维护 8 年的知名开源项目 Neutralinojs 遭遇恶意攻击，且他的经历并非个例，而是一个典型信号：供应链攻击已经从“攻击代码”，演变为“攻击信任关系”。它不再依赖传统Bug，而是潜伏在协作者权限、开发流程乃至 AI 插件生态之中，悄无声息地发生。 很多时候，我们总是担心想象中的风 ...

GlassWorm恶意软件活动正被用于持续攻击，通过窃取的GitHub令牌向数百个Python仓库注入恶意代码。攻击目标包括Django应用、机器学习研究代码、Streamlit仪表板和PyPI包，通过在setup.py、main.py和app.py等文件中附加混淆代码实现。攻击者获取开发者账户访问权限后，将恶意代码变基到目标仓库的默认分支并强制推送更改，同时保持原始提交信息、作者和日期不变。这种 ...

而在微软收购的公司中，有些在收购前就已为人所知，比如较早的 Hotmail，以及后来的 Skype、Mojang，以及近些年的 GitHub、动视暴雪等等，有些则是在被微软收购后才以微软的产品为人们所知。一些收购给微软带来了收益，但其中也不乏一些失败的收购。正值微软五十周年之际，下面就整理了一些微软具有代表性的收购事件，也算是从一个侧面记录微软五十年来的发展历程。

近日，GitHub 2025 年的 Octoverse 报告揭示了开发者可能没有意识到的一些事情。AI 编程助手不仅改变了开发者编写代码的速度，还影响了开发者最初选择的语言。 TypeScript 以 66% 的惊人年增长率成为 GitHub ...

JavaScript异步编程是现代Web开发不可或缺的一环。从Promise到async/await，我们已掌握基础。但面对复杂应用，更高级的异步模式和 ...