这是一个创建于 366 天前的主题,其中的信息可能已经有所发展或是发生改变。
1 、开发者 token 被盗用了,Vant 组件代码中被攻击者植入恶意代码,当用户安装时会下载并运行挖矿程序
2 、参考: https://github.com/youzan/vant/discussions/13273
3 、受影响版本:
Vant
4.9.14
4.9.13
4.9.12
4.9.11
3.6.15
3.6.14
3.6.13
2.13.5
2.13.4
2.13.3
Rspack
v1.1.7
----------
老东家的移动端项目都是用这个,估计他们没啥反应
2 、参考: https://github.com/youzan/vant/discussions/13273
3 、受影响版本:
Vant
4.9.14
4.9.13
4.9.12
4.9.11
3.6.15
3.6.14
3.6.13
2.13.5
2.13.4
2.13.3
Rspack
v1.1.7
----------
老东家的移动端项目都是用这个,估计他们没啥反应
 |
1
horro 2024-12-20 10:41:40 +08:00
我们组用了 rsbuild... 不过用的不是 latest 版本,没中招
|
 |
3
94 2024-12-20 10:47:39 +08:00
这是咋发现的
|
 |
4
flyqie 2024-12-20 10:53:47 +08:00 via Android  1
|
 |
6
jimor OP 1
@dfkjgklfdjg 发的包有问题,报错了
|
 |
8
f2A2RUpR2HgfHg5a 2024-12-20 11:08:09 +08:00
好家伙,看来还是本地构建然后部署到服务器才相对安全,不然这种事情防不胜防。
|
 |
9
paopjian 2024-12-20 11:29:49 +08:00
现在供应链投毒可真是多, 感觉知名库的开发者都得补补课防止老是出这事了, 既然都有开源基金会, 是不是可以托管个开源安全组织
|
 |
10
kepenj 2024-12-20 11:33:03 +08:00
https://github.com/web-infra-dev/rspack/issues/8767#issuecomment-2555772131 看有老哥反向出来的脚本还有国家限制 json ,啧啧啧....
|
 |
12
hafuhafu 2024-12-20 11:52:18 +08:00
发现和处理的还是蛮快的
|
 |
13
IamUNICODE 2024-12-20 13:22:32 +08:00
@kepenj 好家伙
|
|
14
9A0DIP9kgH1O4wjR 2024-12-20 13:54:29 +08:00
正常也不会安装 latest 版本吧
|
 |
15
gaoryrt 2024-12-20 17:06:39 +08:00
@kepenj ```
const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"]; if (!restrictedCountries.includes(countryCode)) { process.exit(0); } ``` 难评 |
 |
17
hellodigua 2024-12-20 17:58:01 +08:00
@gaoryrt 笑晕,判断只有中国、俄罗斯、香港、白俄罗斯、伊朗、未知区域的设备才能挖矿,这一整个针对中俄联盟的是吧
|
 |
18
realpg PRO @hellodigua #17
符合东 3 区到东 5 区网络攻击者的一贯风格 不过一般他们还愿意加一个伪装 比如 const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"]; 他们一般会故意写成 const guojia = ["CN", "RU", "HK", "UNK", "BY", "IR"]; |
Select Language