1 、开发者 token 被盗用了,Vant 组件代码中被攻击者植入恶意代码,当用户安装时会下载并运行挖矿程序
2 、参考: https://github.com/youzan/vant/discussions/13273
3 、受影响版本:
Vant
4.9.14
4.9.13
4.9.12
4.9.11
3.6.15
3.6.14
3.6.13
2.13.5
2.13.4
2.13.3
Rspack
v1.1.7
----------
老东家的移动端项目都是用这个,估计他们没啥反应
2 、参考: https://github.com/youzan/vant/discussions/13273
3 、受影响版本:
Vant
4.9.14
4.9.13
4.9.12
4.9.11
3.6.15
3.6.14
3.6.13
2.13.5
2.13.4
2.13.3
Rspack
v1.1.7
----------
老东家的移动端项目都是用这个,估计他们没啥反应
18 条回复 • 2024-12-20 22:39:18 +08:00
 |
1
horro 13 小时 25 分钟前
我们组用了 rsbuild... 不过用的不是 latest 版本,没中招
|
 |
3
dfkjgklfdjg 13 小时 19 分钟前
这是咋发现的
|
 |
4
flyqie 13 小时 13 分钟前 via Android  1
|
 |
6
jimor OP 1
@dfkjgklfdjg 发的包有问题,报错了
|
 |
8
chenduke 12 小时 58 分钟前
好家伙,看来还是本地构建然后部署到服务器才相对安全,不然这种事情防不胜防。
|
 |
9
paopjian 12 小时 37 分钟前
现在供应链投毒可真是多, 感觉知名库的开发者都得补补课防止老是出这事了, 既然都有开源基金会, 是不是可以托管个开源安全组织
|
 |
10
kepenj 12 小时 33 分钟前
https://github.com/web-infra-dev/rspack/issues/8767#issuecomment-2555772131 看有老哥反向出来的脚本还有国家限制 json ,啧啧啧....
|
 |
12
hafuhafu 12 小时 14 分钟前
发现和处理的还是蛮快的
|
 |
13
IamUNICODE 10 小时 44 分钟前
@kepenj 好家伙
|
 |
14
hanierming 10 小时 12 分钟前
正常也不会安装 latest 版本吧
|
 |
15
gaoryrt 7 小时 0 分钟前
@kepenj ```
const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"]; if (!restrictedCountries.includes(countryCode)) { process.exit(0); } ``` 难评 |
 |
17
hellodigua 6 小时 8 分钟前
@gaoryrt 笑晕,判断只有中国、俄罗斯、香港、白俄罗斯、伊朗、未知区域的设备才能挖矿,这一整个针对中俄联盟的是吧
|
 |
18
realpg 1 小时 27 分钟前
@hellodigua #17
符合东 3 区到东 5 区网络攻击者的一贯风格 不过一般他们还愿意加一个伪装 比如 const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"]; 他们一般会故意写成 const guojia = ["CN", "RU", "HK", "UNK", "BY", "IR"]; |
Select Language