XO

XO

517,632个推特粉丝

关注

Price Action | OrderFlow | Rhythm | https://t.co/vYuLQgs3FT

动态

非常感谢各位申请与 PrimeXBT 合作推出的为期三个月的导师计划。所有申请成功的学员将于明天晚上 9 点（UTC 时间）起获得存取权限。您将收到一封来自 TraderXO Substack 帐户的邀请连结邮件，请检查您的收件匣（也请检查垃圾邮件匣）。对于少数申请者（人数不多），如果您希望继续参与，PrimeXBT 团队将于本周晚些时候透过电子邮件与您联系。感谢大家的支持！谢谢！ twitter.com/Trader_XO/status/2...

今天真是精彩纷呈的一天…… Anthropic 在 GTA 6 发售前就开源了 Claude 代码……😶

你明白互联网上最常用的 npm 包之一发生了什么吗？ → axios 每周下载量超过 1 亿次，今天它被攻破了。 → 攻击者劫持了 axios 主要维护者的 npm 账号密码……将账号邮箱更改为匿名 ProtonMail 地址……并手动发布了两个恶意版本。 → axios@1.14.1 和 axios@0.30.4……这两个版本本身都没有包含任何恶意代码。攻击者注入了一个名为 plain-crypto-js 的虚假依赖项，该依赖项会在你的机器上植入远程访问木马。 → 这个虚假依赖项提前 18 小时准备就绪……攻击者预先构建了适用于 macOS、Windows 和 Linux 的三个独立有效载荷……两个发布分支都在 39 分钟内遭到攻击。所有痕迹都设计为在执行后自动销毁。 → axios GitHub 仓库中没有 1.14.1 版本的标签。它完全绕过了正常的发布流程……彻底绕过了 CI/CD → StepSecurity 称其为有史以来针对排名前十的 npm 包发起的最具操作复杂性的供应链攻击之一 → 一次例行的 npm install 操作悄无声息地打开了一个后门……没有任何警告……axios 本身也没有任何可疑代码这是所有 Vibe Code 兄弟们现在需要听到的警钟： → 如果你安装了这两个版本中的任何一个……假设你的系统已被入侵 → 锁定到 axios@1.14.0 或 axios@0.30.3 → 在受影响的机器上轮换所有密钥、API 密钥、SSH 密钥和凭据 → 检查网络日志中是否存在 C2 连接 → 今后在 CI npm install 中添加 --ignore-scripts 参数每周 1 亿次下载，一个维护者账户被盗…… 这就是造成彻底破坏的全部所需而且我估计我们会看到更多这样的事件……网络安全和 Vibe Code 的未来充满挑战大家注意安全

🚨 CRITICAL: Active supply chain attack on axios -- one of npm's most depended-on packages. The latest axios@1.14.1 now pulls in plain-crypto-js@4.2.1, a package that did not exist before today. This is a live compromise. This is textbook supply chain installer malware. axios

尽管TXMC当时的观点饱受批评，但他最终的结论是正确的… 他是这里为数不多我乐于阅读其宏观经济学观点的作者之一。

𝐓𝐗𝐌𝐂

As I first explained a year ago, Global M2 is bullshit for trading. It doesn't really exist. It's a made up aggregate of a bunch of different countries domestic money supply, which is then arbitrarily converted into dollars. Half of the aggregate is just China alone and their x.com/edwardmorra_bt…

Loading..