朝鲜黑客冒充开发者面试Web3项目 盗取超过6000万美元的以太坊

朝鲜黑客冒充开发者面试Web3项目盗取超过6000万美元的以太坊本周三早些时候Munchables在一份合约被恶意操纵后，有超过6,250万美元的以太坊被耗尽，尽管开发商已经共享所有私钥希望能够锁定资金，但黑客显然已经将资金转移到各个地方。目前的猜测是为Munchables工作的一名核心开发者是朝鲜黑客冒充的，他们通常会伪造光鲜的教育背景和履历来骗取信任，接着寻找各种支持远程工作的项目，在面试成功后就变成特洛伊木马。这种情况目前发生的还不是很多但已经有发生的了，对于各种区块链项目来说远程工作是常见的，而如何辨别黑客的身份就是问题了。比如本案例中的黑客GitHub账号可能是Werewolves0493，不过知道账号没有任何意义，因为这些黑客会提前准备大量GitHub账号和不同的身份，有时候甚至还会针对一个职位发出多个简历进行申请，确保通过率。朝鲜黑客的主要目标还是资金，但这种攻击方式也可以很容易横向扩展到其他领域，所以说能够做的事情还是很多的。...PC版：https://www.cnbeta.com.tw/articles/soft/1425256.htm手机版：https://m.cnbeta.com.tw/view/1425256.htm

Google宣布扩展针对开源软件的新一期漏洞奖励计划

Google宣布扩展针对开源软件的新一期漏洞奖励计划Google早在2010年就推出了漏洞奖励计划（VRP）。顾名思义，它鼓励研究人员和网络安全专家检测安全问题和漏洞，然后私下向供应商报告。报告后，这些漏洞将被公司修复，发现问题的人将获得金钱奖励。在过去几年中，Google一直致力于统一该平台，并将其扩展到更多平台。今天，该公司宣布了又一次扩张，这次是在开放源代码软件（OSS）领域。Google强调，它是开放源码软件最大的贡献者和维护者之一，旗下有Golang、Angular和Fuchsia等项目，因此它理解保护这一领域的必要性。因此，它的OSSVRP计划也是为了鼓励在这方面的努力。OSSVRP侧重于Google旗下的任何OSS代码。这不仅包括其维护的项目，还包括由其他供应商维护的任何OSS依赖。本VRP所涵盖的两类开放源码软件定义如下：储存在Google旗下GitHub组织的公共存储库中的所有最新版本的开源软件（包括存储库设置）。这些项目的第三方依赖（在提交给Google的OSSVRP之前需要事先通知受影响的依赖方）Google现在接受的提交类型包括供应链妥协、设计缺陷和一般的安全问题，如薄弱或泄露的凭证，或不安全的部署。奖励从100美元开始，最高可达31337美元，不过，上限通常针对更敏感的项目，如Bazel、Angular、Golang、协议缓冲区和Fuchsia。Google希望这种社区驱动的合作努力将有助于提高开放源码软件的安全性。该倡议是Google一年前与美国总统拜登会面后宣布的100亿美元网络安全投资的一部分。早在4月，Google承诺支持开源安全基金会（OpenSSF）的软件包分析项目，以检测恶意的开源软件包也。如果你对参与OSSVRP感兴趣，你可以在这里查看要求和其他流程：https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules...PC版：https://www.cnbeta.com/articles/soft/1310487.htm手机版：https://m.cnbeta.com/view/1310487.htm

俄罗斯开发者被阻止向“自由及开源软件”贡献

俄罗斯开发者被阻止向“自由及开源软件”贡献最近有两起俄罗斯开发者被阻止贡献FOSS(FreeandOpenSourceSoftware)代码的事件。在Linux内核邮件列表上，俄罗斯芯片制造商贝加尔电子公司的SergeySemin的贡献被拒绝了，“我们对接受来自贵组织生产的硬件或与之相关的补丁感到不舒服。”另外一件也是针对俄罗斯开发者的，他的GitHub账户已被封锁。他开发的“一个管理和配置支持智能平台管理界面的设备的工具”，，被标记为只读“存档”。原因是他为俄罗斯芯片制造商Yadro工作，该公司正在研发RISC-V芯片，被列入了乌克兰的战争与制裁数据库。来源，来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot