1
horro 1 天前
我们组用了 rsbuild... 不过用的不是 latest 版本,没中招
|
3
dfkjgklfdjg 1 天前
这是咋发现的
|
4
flyqie 1 天前 via Android 1
|
6
jimor OP @dfkjgklfdjg 发的包有问题,报错了
|
8
chenduke 1 天前
好家伙,看来还是本地构建然后部署到服务器才相对安全,不然这种事情防不胜防。
|
9
paopjian 1 天前
现在供应链投毒可真是多, 感觉知名库的开发者都得补补课防止老是出这事了, 既然都有开源基金会, 是不是可以托管个开源安全组织
|
10
kepenj 1 天前
https://github.com/web-infra-dev/rspack/issues/8767#issuecomment-2555772131 看有老哥反向出来的脚本还有国家限制 json ,啧啧啧....
|
12
hafuhafu 1 天前
发现和处理的还是蛮快的
|
13
IamUNICODE 1 天前
@kepenj 好家伙
|
14
hanierming 1 天前
正常也不会安装 latest 版本吧
|
15
gaoryrt 1 天前
@kepenj ```
const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"]; if (!restrictedCountries.includes(countryCode)) { process.exit(0); } ``` 难评 |
17
hellodigua 1 天前
@gaoryrt 笑晕,判断只有中国、俄罗斯、香港、白俄罗斯、伊朗、未知区域的设备才能挖矿,这一整个针对中俄联盟的是吧
|
18
realpg 1 天前
@hellodigua #17
符合东 3 区到东 5 区网络攻击者的一贯风格 不过一般他们还愿意加一个伪装 比如 const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"]; 他们一般会故意写成 const guojia = ["CN", "RU", "HK", "UNK", "BY", "IR"]; |