每日HackerNews RSS

Not alive, but not dead: disembodied human brains used for drug testing 7 天前

查看详情

Panelook 7 天前

查看详情

GitHub 确认 3800 个代码仓库因恶意 VSCode 插件遭到入侵。 GitHub confirms breach of 3,800 repos via malicious VSCode extension 7 天前

请启用 JavaScript 和 Cookie 以继续。

根据 Hacker News 的讨论，以下是该事件的摘要及社区的分析： * **事件：** GitHub 确认，在一名开发者的凭证通过恶意 VS Code 扩展（推测为 `nx-console` 或 Twig 格式化工具等扩展）被盗后，有 3,800 个代码仓库遭到入侵。 * **攻击途径：** 恶意软件静默收集了开发者电脑上的本地凭证（如个人访问令牌 PAT 和 SSH 密钥）并将其外传。随后，攻击者利用这些有效凭证远程克隆了内部代码仓库。 * **VS Code 安全担忧：** 评论者指出，基于 Electron 构建的 VS Code 缺乏强大的扩展隔离机制，这使得被攻破的扩展很容易访问宿主系统并发起未经授权的对外网络请求。 * **建议的缓解措施：** 为了预防和检测类似的凭证滥用攻击，讨论中的安全专家建议： * 对 GitHub 组织强制执行单点登录 (SSO) 和严格的 IP 允许列表（白名单）。 * 限制使用经典的 PAT，并对细粒度令牌（fine-grained tokens）强制设置有效期限制。 * 启用持续审计日志流，以检测异常的 API 访问。 * 监控或限制来自开发环境的出站网络连接。

查看详情

Node.js 26.0.0 (Now with Temporal) 7 天前

查看详情

LoRA and Weight Decay (2023) 7 天前

查看详情

Qian Xuesen: The missile genius America lost and China gained (2025) 7 天前

查看详情

Flipper One Tech Specs 7 天前

查看详情

Tracking Starbucks' 'widely recyclable' cups: none ended up at recycling 7 天前

查看详情

Why is Inkwell stuck in review 7 天前

查看详情

一款 OpenAI 模型证伪了离散几何中的一个核心猜想。 An OpenAI model has disproved a central conjecture in discrete geometry 7 天前

启用 JavaScript 和 Cookie 以继续

查看详情

更多