Theo giám sát của Beating, vào ngày 12 tháng 5 lúc 3:20–3:26 (UTC+8), các kẻ tấn công liên quan đến TeamPCP đã chiếm quyền các pipeline phát hành chính thức của TanStack, Amazon OpenSearch và Mistral, đẩy 84 phiên bản package độc hại lên npm và PyPI. Các gói bị ảnh hưởng gồm @tanstack/react-router (lượt tải hàng tuần 10M+), @opensearch-project/opensearch (lượt tải hàng tuần 1,3M) và client của Mistral là mistralai. Các package độc hại đã vượt qua cơ chế tin cậy bảo mật bằng cách khai thác lỗ hổng cấu hình trong GitHub Actions để lấy thông tin đăng tải tạm thời hợp lệ, qua đó có thể nhận chữ ký nguồn gốc bản build hợp lệ theo SLSA.
Phân tích ngược từ Socket.dev cho thấy con sâu vẫn tồn tại ngay cả sau khi gỡ bỏ package bằng cách chèn mã vào các hook thực thi của Claude Code (.claude/settings.json) và cấu hình tác vụ của VS Code (.vscode/tasks.json). Với các package Python, phần mềm độc hại kích hoạt âm thầm khi import mà không cần gọi hàm. Các máy bị ảnh hưởng nên được coi là đã bị xâm phạm; người dùng cần ngay lập tức xoay vòng các thông tin đăng nhập AWS, GitHub, npm và SSH, đồng thời cài đặt lại từ các lockfile sạch.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Mỹ và Trung Quốc chuẩn bị đối thoại an toàn AI mới khi mô hình Mythos của Anthropic thúc đẩy các cuộc thảo luận
Theo Beating (một nền tảng giám sát), Trung Quốc và Mỹ đang chuẩn bị khởi động một vòng đối thoại mới về an toàn AI. Nguyên nhân thúc đẩy là mô hình Mythos của Anthropic, có thể tự động xâm nhập các cơ sở dữ liệu của chính phủ và mạng lưới bệnh viện, khiến các quan chức Mỹ xem đây là một vũ khí mạng chưa từng có. Đồng thời, DeepSeek cho biết mô hình mới của hãng đã được điều chỉnh để chạy trên chip Huawei, qua đó giảm sự phụ thuộc của Trung Quốc vào Nvidia và củng cố vị thế đàm phán. Các quan ch
GateNews9phút trước
Lightspeed cắt mục tiêu quỹ tại Ấn Độ còn 300 triệu đến 350 triệu USD, chuyển hướng sang AI
Công ty đầu tư mạo hiểm Lightspeed có trụ sở tại Mỹ đã giảm mục tiêu cho quỹ thứ năm tập trung vào Ấn Độ xuống mức 300 đến 350 triệu USD, từ mức cao tới 500 triệu USD, theo The Economic Times. Công ty đang chuyển trọng tâm sang các khoản đầu tư giai đoạn đầu vào AI và deeptech. Thay đổi Chiến lược và Quy mô Quỹ Việc giảm quy mô quỹ thể hiện sự quay trở lại quy mô quỹ đầu tư Ấn Độ trước đó của Lightspeed. Mục tiêu mới nằm gần hơn với ba quỹ Ấn Độ đầu tiên của công ty, lần lượt được định giá 135 t
CryptoFrontier15phút trước
Hoàng Nhân Hhuân phút chót được mời theo chân Trump sang Trung Quốc, lên Không lực Nhất
白宮證實 CEO 黃仁勳 của Nvidia được mời tham gia lịch trình cuộc gặp thượng đỉnh với Trung Quốc do Tổng thống Trump dẫn đầu vào phút chót. Mặc dù trước đó nhiều nguồn tin cho rằng ông không nằm trong danh sách, nhưng theo bài đăng của người chứng kiến, hiện tại Huang Renxun đã lên Không lực 1 tại Alaska cùng với nhiều lãnh đạo doanh nghiệp khác, trong đó có CEO Tesla Elon Musk, để đến thăm Trung Quốc. Vì sao danh sách đoàn đại biểu sang Trung Quốc trong chuyến đi của Trump–Tập lại có biến động mang tín
ChainNewsAbmedia32phút trước
Michael Burry cảnh báo: Cơn sốt cổ phiếu AI giống bong bóng 1999-2000, trong những tháng cuối cùng
Theo Investopedia vào ngày 12 tháng 5, nhà đầu tư Michael Burry, người nổi tiếng nhờ dự đoán thị trường bất động sản sụp đổ vào năm 2008, trong cuối tuần đã đăng nhiều bài viết trên Substack. Ông cho biết đợt tăng giá gần đây của nhóm cổ phiếu gắn với AI “cảm giác như những tháng cuối cùng của bong bóng năm 1999-2000”, và khuyến nghị “giảm tỷ trọng đối với các cổ phiếu đang tăng theo dạng hình parabol”. Cảnh báo cụ thể và khuyến nghị hành động của Burry Theo Investopedia, trong bài viết trên Sub
MarketWhisper42phút trước
Ba ngân hàng lớn của Nhật Bản sẽ được tiếp cận Claude Mythos của Anthropic trước cuối tháng 5
Theo Nikkei, ba ngân hàng lớn của Nhật Bản dự kiến sẽ có quyền truy cập Claude Mythos, một mô hình trí tuệ nhân tạo mạnh mẽ do công ty khởi nghiệp của Mỹ Anthropic phát triển, sớm nhất là vào cuối tháng 5.
GateNews43phút trước
Chuỗi cung ứng tấn công kép nhắm vào AI: Mistral và các mô hình OpenAI giả cũng bị xâm nhập
系開發者工具生態 5 月 12 日 cùng ngày đồng thời xuất hiện 2 vụ tấn công chuỗi cung ứng nghiêm trọng: (1) Microsoft Threat Intelligence tiết lộ gói PyPI của Mistral AI bị cài mã độc; (2) một dự án mô hình Hugging Face giả mạo OpenAI leo lên bảng hot ở vị trí số 1, trong 18 giờ thu hút 244 nghìn lượt tải và đánh cắp hàng loạt thông tin đăng nhập. Theo Decrypt, cả 2 sự kiện đều phơi bày tính dễ tổn thương của hệ sinh thái phát triển AI trước nạn xâm nhập chuỗi cung ứng. Table of Contents Toggle Vụ gói Mistra
ChainNewsAbmedia1giờ trước
