来源:OSC开源社区
前端社区爆发了一起严重的供应链投毒事件——有赞开源组件库 Vant 和字节开源前端打包工具 Rspack 的多个版本被植入了恶意代码。
12 月 19 日,Vant 维护者在 GitHub 发布公告称,因团队成员的 npm token 被盗用,盗号者向多个版本注入了恶意脚本代码,并发布至 npm 仓库。
Rspack 1.1.7 版本。目前相关 token 已经全部清理。
两个开源项目均已发布了修复版本:
https://github.com/youzan/vant/releases/tag/v4.9.15
https://github.com/web-infra-dev/rspack/releases/tag/v1.1.8
Vant 受影响版本:
4.9.11 - 4.9.14
3.6.13 - 3.6.15
2.13.3 - 2.13.5安全版本:
4.9.15
3.6.16
2.13.6Rspack 受影响版本:
@rspack/core: 1.1.7
@rspack/cli: 1.1.7安全版本:
1.1.8
恶意行为详情
在受影响的版本中,恶意代码会在 Linux 系统上下载并运行名为 vant_helper 的挖矿程序,并利用攻击者指定的钱包地址进行门罗币挖矿。
另外攻击者不仅仅是通过安装脚本来运行挖矿程序,他们还针对用户的云服务凭据进行了窃取,包括 /.aliyun/config.json、 /.hcloud/config.json 以及 ~/.tccli/default.credential 文件中的敏感信息。
这些信息被发送到一个位于 80.78.28.72 的攻击者控制服务器。
1、小心,美国人又要在基础软件上弯道超车了...... 2、哗然!MIT教授NeurIPS演讲公开歧视中国学生,大会官方认错、本人道歉 3、26岁OpenAI举报人疑自杀!死前揭ChatGPT训练黑幕 4、ChatGPT 正式登陆苹果全家桶,iPhone 今天起自带最强 AI,但就是这点让人遗憾 5、某大厂员工吐槽:公司发邮件说春节连续放假18天!可补充说明却让自己怎么也高兴不起来
点击关注公众号,阅读更多精彩内容
