Futuros
Acesse centenas de contratos perpétuos
CFD
Ouro
Plataforma única para ativos tradicionais globais
Opções
Hot
Negocie opções vanilla no estilo europeu
Conta unificada
Maximize sua eficiência de capital
Negociação demo
Introdução à negociação de futuros
Prepare-se para sua negociação de futuros
Eventos de futuros
Participe de eventos e ganhe recompensas
Negociação demo
Use fundos virtuais para experimentar negociações sem riscos
Lançamento
CandyDrop
Colete candies para ganhar airdrops
Launchpool
Staking rápido, ganhe novos tokens em potencial
HODLer Airdrop
Possua GT em hold e ganhe airdrops massivos de graça
Pre-IPOs
Desbloqueie o acesso completo a IPO de ações globais
Pontos Alpha
Negocie on-chain e receba airdrops
Pontos de futuros
Ganhe pontos de futuros e colete recompensas em airdrop
Investimento
Simple Earn
Ganhe juros com tokens ociosos
Autoinvestimento
Invista automaticamente regularmente
Investimento duplo
Lucre com a volatilidade do mercado
Soft Staking
Ganhe recompensas com stakings flexíveis
Empréstimo de criptomoedas
0 Fees
Penhore uma criptomoeda para pegar outra emprestado
Centro de empréstimos
Centro de empréstimos integrado
Centro de riqueza VIP
Planos premium de crescimento de patrimônio
Gestão privada de patrimônio
Alocação premium de ativos
Fundo Quantitativo
Estratégias quant de alto nível
Apostar
Faça staking de criptomoedas para ganhar em produtos PoS
Alavancagem Inteligente
Alavancagem sem liquidação
Cunhagem de GUSD
Cunhe GUSD para retornos em RWA
Promoções
Centro de atividade
Participe de atividades e ganhe recompensas
Indicação
20 USDT
Convide amigos para recompensas de ind.
Programa de afiliados
Ganhe recomp. de comissão exclusivas
Gate Booster
Aumente a influência e ganhe airdrops
Anúncio
Atualizações na plataforma em tempo real
Blog da Gate
Artigos do setor de criptomoedas
AI
Gate AI
Seu parceiro de IA conversacional para todas as horas
Gate AI Bot
Use o Gate AI diretamente no seu aplicativo social
GateClaw
Gate Blue Lobster, pronto para usar
Gate for AI Agent
Infraestrutura de IA, Gate MCP, Skills e CLI
Gate Skills Hub
10K+ habilidades
Do escritório à negociação: um hub completo de habilidades para turbinar o uso da IA
GateRouter
Escolha inteligentemente entre mais de 40 modelos de IA, com 0% de taxas extras
Excluir o pacote de vírus também não adianta: MiniShai-Hulud afeta TanStack, OpenSearch e clientes Mistral
De acordo com a monitorização do Beating, um malware chamado «Mini Shai-Hulud» (a minhoca de areia de «Duna») está varrendo os ecossistemas de front-end e back-end de IA. Os atacantes do TeamPCP invadiram a pipeline oficial do TanStack às 3h20 às 3h26 da manhã de 12 de maio (UTC+8), enviando 84 versões maliciosas de 42 pacotes oficiais ao npm, incluindo o @tanstack/react-router, que possui milhões de downloads semanais. Posteriormente, a minhoca se espalhou para o PyPI, com as últimas vítimas incluindo o Amazon @opensearch-project/opensearch (npm, 1,3 milhão de downloads semanais), o cliente oficial Mistral mistralai e a ferramenta de proteção AI guardrails-ai (todos no PyPI).
Os pacotes maliciosos parecem idênticos aos lançamentos legítimos. Os atacantes não roubaram credenciais de longo prazo, mas exploraram uma vulnerabilidade na configuração do GitHub Actions para sequestrar a pipeline oficial, obtendo permissões temporárias legítimas de publicação. Assim, os pacotes maliciosos receberam assinaturas de origem SLSA reais (provenance, uma etiqueta antifraude que comprova que o pacote realmente foi produzido pela pipeline oficial). A lógica de confiança antiga, de que «pacote assinado = seguro», foi completamente contornada.
Mais grave ainda, desinstalar o pacote malicioso não é suficiente. A análise reversa do Socket.dev revelou que, após a instalação, a minhoca escreve seus scripts nos ganchos de execução do Claude Code (.claude/settings.json) e na configuração de tarefas do VS Code (.vscode/tasks.json). Mesmo que o pacote seja removido, assim que o desenvolvedor abrir o projeto ou ativar o assistente de IA, o código malicioso se reativa automaticamente. No lado do Python, a barreira de ativação é ainda menor: basta importar o pacote infectado, sem precisar chamar nenhuma função, para que o código de roubo de dados seja silenciosamente ativado.
O TeamPCP deixou uma mensagem zombando na domain falsa git-tanstack[.]com, que distribui a carga útil: «Já roubamos credenciais por mais de duas horas online, mas só vim dar um oi :^)». A minhoca ainda está se autoespalhando. Máquinas que instalaram os pacotes afetados durante o período de janela de ataque devem ser consideradas comprometidas: troque imediatamente todas as credenciais do AWS, GitHub, npm, SSH, etc., faça uma verificação completa dos diretórios .claude/ e .vscode/, e reinstale a partir de um lockfile limpo.