Futures
Accédez à des centaines de contrats perpétuels
CFD
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
20 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
GateRouter
Choisissez intelligemment parmi plus de 40 modèles d’IA, avec 0 % de frais supplémentaires
Supprimer le paquet toxique est inutile : MiniShai-Hulud affecte TanStack, OpenSearch et le client Mistral
Selon le système de détection Beating, un cheval de Troie espion nommé « Mini Shai-Hulud » (le ver de sable dans « Dune ») est en train de se propager dans l’écosystème frontend et backend AI. L’attaquant TeamPCP a piraté la chaîne de déploiement officielle de TanStack entre 3h20 et 3h26 (UTC+8) le 12 mai, et a poussé 84 versions malveillantes de 42 paquets officiels sur npm, y compris @tanstack/react-router, qui a des dizaines de millions de téléchargements hebdomadaires. Ensuite, le ver s’est propagé à PyPI, avec la liste des victimes la plus récente comprenant Amazon @opensearch-project/opensearch (npm, 1,3 million de téléchargements par semaine), le client officiel Mistral mistralai et l’outil de sécurité AI guardrails-ai (tous deux sur PyPI).
Les paquets malveillants ressemblent parfaitement aux versions officielles. Les attaquants n’ont pas volé de crédentiels à long terme, mais ont exploité une faille de configuration de GitHub Actions pour détourner la chaîne de déploiement officielle, obtenant ainsi un accès temporaire légitime pour publier. Les paquets malveillants ont alors obtenu une signature de provenance SLSA authentique (provenance, une étiquette anti-fraude prouvant que le paquet provient bien de la chaîne officielle). La logique de confiance précédente « signé = sécurisé » des développeurs a été complètement contournée.
Ce qui est encore plus grave, c’est que désinstaller le paquet toxique ne suffit pas. Une analyse inverse par Socket.dev montre que, après installation, le ver écrit en arrière-plan dans le hook d’exécution de Claude Code (.claude/settings.json) et dans la configuration des tâches de VS Code (.vscode/tasks.json). Même si le paquet malveillant est supprimé, dès que le développeur ouvre le répertoire du projet ou active l’assistant AI, le code malveillant se réactive automatiquement. La détection côté Python est encore plus simple : il suffit d’importer le paquet infecté, sans même appeler de fonction, pour que le code espion se déclenche silencieusement.
TeamPCP affiche un message sarcastique sur le domaine falsifié git-tanstack[.]com utilisé pour distribuer la charge utile : « Nous avons déjà volé des crédentiels en ligne pendant plus de deux heures, mais je suis juste là pour dire bonjour :^) ». Le ver continue de se propager de manière autonome. Les machines ayant installé les paquets affectés durant cette fenêtre doivent être considérées comme compromises : changer immédiatement tous les crédentiels AWS, GitHub, npm, SSH, etc., vérifier en profondeur les répertoires .claude/ et .vscode/, puis réinstaller à partir d’un lockfile propre.