专栏名称: OSC开源社区
OSChina 开源中国 官方微信账号
目录
相关文章推荐
程序员的那些事  ·  清北 DeepSeek 教程"神仙打架",北 ... ·  4 天前  
程序员小灰  ·  Manus,又一国产AI封神了,一码难求! ·  3 天前  
OSC开源社区  ·  华为新笔记本被曝预装Linux系统 ·  2 天前  
编程技术进阶  ·  超详细的 Manus 分析报告流出(速领,待会删) ·  2 天前  
编程技术进阶  ·  超详细的 Manus 分析报告流出(速领,待会删) ·  2 天前  
程序猿  ·  雷军提出建议!他本人也曾是“受害者” ·  5 天前  
51好读  ›  专栏  ›  OSC开源社区

两款知名国产前端开源项目被“投毒”

OSC开源社区  · 公众号  · 程序员  · 2024-12-20 16:16

正文

OSCHINA

↑点击蓝字 关注我们


前端社区爆发了一起严重的供应链投毒事件——有赞开源组件库 Vant 和字节开源前端打包工具 Rspack 的多个版本被植入了恶意代码。

12 月 19 日, Vant 维护者在 GitHub 发布公告称, 因团队成员的 npm token 被盗用,盗号者向多个版本注入了恶意脚本代码,并发布至 npm 仓库

受此次攻击影响,盗号者进一步拿到了同个 GitHub 组织下另一名 Rspack 维护者的 npm token,并发布了带有相同恶意代码的 Rspack 1.1.7 版本。
Rspack 团队知释后在一小时内完成该版本的废弃处理,并发布了 1.1.8 修复版本。

目前相关 token 已经全部清理。

两个开源项目均已发布了修复版本:

https://github.com/youzan/vant/releases/tag/v4.9.15

https://github.com/web-infra-dev/rspack/releases/tag/v1.1.8

Vant 受影响版本:

4.9.11 - 4.9.14
3.6.13 - 3.6.15
2.13.3 - 2.13.5

安全版本:

4.9.15
3.6.16
2.13.6

Rspack 受影响版本:

@rspack/core: 1.1.7
@rspack/cli : 1.1.7

安全版本:

1.1.8

恶意行为详情

在受影响的版本中,恶意代码会在 Linux 系统上下载并运行名为 vant_helper 的挖矿程序,并利用攻击者指定的钱包地址进行门罗币挖矿。

另外攻击者不仅仅是通过安装脚本来运行挖矿程序,他们还针对用户的云服务凭据进行了窃取, 包括 /.aliyun/config.json /.hcloud/config.json 以及 ~/.tccli/default.credential 文件中的敏感信息。

这些信息被发送到一个位于 80.78.28.72 的攻击者控制服务器。


延伸阅读

字节跳动开源前端模块打包工具Rspack:基于Rust、主打高性能

百万周下载量node-ipc包以反战为名进行供应链投毒


相关来源

https://github.com/youzan/vant/issues/13275

https://github.com/youzan/vant/discussions/13273

https://github.com/web-infra-dev/rspack/issues/8767

END








请到「今天看啥」查看全文


推荐文章
程序员的那些事  ·  清北 DeepSeek 教程"神仙打架",北大出品的 DeepSeek 教程来了!(PDF 可下载)
4 天前
程序员小灰  ·  Manus,又一国产AI封神了,一码难求!
3 天前
OSC开源社区  ·  华为新笔记本被曝预装Linux系统
2 天前
编程技术进阶  ·  超详细的 Manus 分析报告流出(速领,待会删)
2 天前
编程技术进阶  ·  超详细的 Manus 分析报告流出(速领,待会删)
2 天前
程序猿  ·  雷军提出建议!他本人也曾是“受害者”
5 天前
FM93交通之声  ·  一觉醒来,父子俩一死一昏迷!冬天这些事千万不能做,分分钟要你命!
8 年前
中国经济网  ·  人到中年后,最高境界,就这两个字!丨可读
7 年前
李瀛寰  ·  布局AI+万物计划,从硬蛋的积木式创新看全球科技产业发展模式
7 年前
WSJ金融市场  ·  安倍晋三:中国对解决朝鲜威胁有关键作用
7 年前
审判研究  ·  正确认识投标保证金的法律性质|律师视点 144
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!