V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jimor
V2EX  ›  信息安全

Vant 组件被投毒了

  •  
  •   jimor · 1 天前 · 4584 次点击
    1 、开发者 token 被盗用了,Vant 组件代码中被攻击者植入恶意代码,当用户安装时会下载并运行挖矿程序
    2 、参考: https://github.com/youzan/vant/discussions/13273
    3 、受影响版本:
    Vant
    4.9.14
    4.9.13
    4.9.12
    4.9.11
    3.6.15
    3.6.14
    3.6.13
    2.13.5
    2.13.4
    2.13.3
    Rspack
    v1.1.7

    ----------

    老东家的移动端项目都是用这个,估计他们没啥反应
    18 条回复    2024-12-20 22:39:18 +08:00
    horro
        1
    horro  
       1 天前
    我们组用了 rsbuild... 不过用的不是 latest 版本,没中招
    jimor
        2
    jimor  
    OP
       1 天前
    @horro 应该还好废弃动作挺快的,这要是埋伏一段时间再暴雷可能就涉及就多了
    dfkjgklfdjg
        3
    dfkjgklfdjg  
       1 天前
    这是咋发现的
    flyqie
        4
    flyqie  
       1 天前 via Android   ❤️ 1
    @dfkjgklfdjg #3

    感觉像是动作太过迅速触发了第三方安全警报什么的?

    看攻击似乎是在快速发版,这很明显不符合常理。
    fishlium
        5
    fishlium  
       1 天前
    @flyqie 他发版不熟练,之前安装会报错,我就是在报错期间把版本锁了
    jimor
        6
    jimor  
    OP
       1 天前   ❤️ 1
    @dfkjgklfdjg 发的包有问题,报错了
    flyqie
        7
    flyqie  
       1 天前 via Android
    @fishlium #5

    感谢分享。

    估计他现在正在后悔的直拍大腿吧。
    chenduke
        8
    chenduke  
       1 天前
    好家伙,看来还是本地构建然后部署到服务器才相对安全,不然这种事情防不胜防。
    paopjian
        9
    paopjian  
       1 天前
    现在供应链投毒可真是多, 感觉知名库的开发者都得补补课防止老是出这事了, 既然都有开源基金会, 是不是可以托管个开源安全组织
    kepenj
        10
    kepenj  
       1 天前
    https://github.com/web-infra-dev/rspack/issues/8767#issuecomment-2555772131 看有老哥反向出来的脚本还有国家限制 json ,啧啧啧....
    jimor
        11
    jimor  
    OP
       1 天前
    @kepenj 很经典了
    hafuhafu
        12
    hafuhafu  
       1 天前
    发现和处理的还是蛮快的
    IamUNICODE
        13
    IamUNICODE  
       1 天前
    @kepenj 好家伙
    hanierming
        14
    hanierming  
       1 天前
    正常也不会安装 latest 版本吧
    gaoryrt
        15
    gaoryrt  
       1 天前
    @kepenj ```
    const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"];

    if (!restrictedCountries.includes(countryCode)) {
    process.exit(0);
    }
    ```

    难评
    uzumaki
        16
    uzumaki  
       1 天前
    @paopjian 开源安全组织也不安全啊
    hellodigua
        17
    hellodigua  
       1 天前
    @gaoryrt 笑晕,判断只有中国、俄罗斯、香港、白俄罗斯、伊朗、未知区域的设备才能挖矿,这一整个针对中俄联盟的是吧
    realpg
        18
    realpg  
       1 天前
    @hellodigua #17
    符合东 3 区到东 5 区网络攻击者的一贯风格
    不过一般他们还愿意加一个伪装
    比如
    const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"];
    他们一般会故意写成
    const guojia = ["CN", "RU", "HK", "UNK", "BY", "IR"];
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2686 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 14:49 · PVG 22:49 · LAX 06:49 · JFK 09:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.