这是一个创建于 295 天前的主题,其中的信息可能已经有所发展或是发生改变。
1 、开发者 token 被盗用了,Vant 组件代码中被攻击者植入恶意代码,当用户安装时会下载并运行挖矿程序
2 、参考: https://github.com/youzan/vant/discussions/13273
3 、受影响版本:
Vant
4.9.14
4.9.13
4.9.12
4.9.11
3.6.15
3.6.14
3.6.13
2.13.5
2.13.4
2.13.3
Rspack
v1.1.7
----------
老东家的移动端项目都是用这个,估计他们没啥反应
2 、参考: https://github.com/youzan/vant/discussions/13273
3 、受影响版本:
Vant
4.9.14
4.9.13
4.9.12
4.9.11
3.6.15
3.6.14
3.6.13
2.13.5
2.13.4
2.13.3
Rspack
v1.1.7
----------
老东家的移动端项目都是用这个,估计他们没啥反应
 | 1 horro 295 天前 我们组用了 rsbuild... 不过用的不是 latest 版本,没中招 |
 | 3 94 295 天前 这是咋发现的 |
 | 4 flyqie 295 天前 via Android  1 |
 | 6 jimor OP  1 @dfkjgklfdjg 发的包有问题,报错了 |
 | 8 f2A2RUpR2HgfHg5a 295 天前 好家伙,看来还是本地构建然后部署到服务器才相对安全,不然这种事情防不胜防。 |
 | 9 paopjian 295 天前 现在供应链投毒可真是多, 感觉知名库的开发者都得补补课防止老是出这事了, 既然都有开源基金会, 是不是可以托管个开源安全组织 |
 | 10 kepenj 295 天前 https://github.com/web-infra-dev/rspack/issues/8767#issuecomment-2555772131 看有老哥反向出来的脚本还有国家限制 json ,啧啧啧.... |
 | 12 hafuhafu 295 天前 发现和处理的还是蛮快的 |
 | 13 IamUNICODE 295 天前 @kepenj 好家伙 |
| 14 9A0DIP9kgH1O4wjR 295 天前 正常也不会安装 latest 版本吧 |
 | 15 gaoryrt 294 天前 @kepenj ``` const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"]; if (!restrictedCountries.includes(countryCode)) { process.exit(0); } ``` 难评 |
 | 17 hellodigua 294 天前 @gaoryrt 笑晕,判断只有中国、俄罗斯、香港、白俄罗斯、伊朗、未知区域的设备才能挖矿,这一整个针对中俄联盟的是吧 |
 | 18 realpg PRO @hellodigua #17 符合东 3 区到东 5 区网络攻击者的一贯风格 不过一般他们还愿意加一个伪装 比如 const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"]; 他们一般会故意写成 const guojia = ["CN", "RU", "HK", "UNK", "BY", "IR"]; |
Select Language