专栏名称: 奇舞精选
《奇舞精选》是由奇舞团维护的前端技术公众号。除周五外,每天向大家推荐一篇前端相关技术文章,每周五向大家推送汇总周刊内容。
今天看啥  ›  专栏  ›  奇舞精选

知名前端库 Vant 和 Rspack 遭恶意代码投毒,大家注意升级!

奇舞精选  · 公众号  · 互联网安全 科技自媒体  · 2024-12-23 18:00
    

主要观点总结

本文报道了前端社区发生的供应链投毒事件,涉及知名开源组件库Vant和构建工具Rspack。攻击者通过恶意代码注入,在受影响的版本中执行挖矿程序,并窃取用户云服务凭据。事件已引起开发团队的注意,并提供了应对措施和建议。

关键观点总结

关键观点1: 供应链投毒事件概述

前端社区发生供应链投毒事件,涉及Vant和Rspack。攻击者恶意代码注入,执行挖矿程序,窃取用户云服务凭据。

关键观点2: 事件起因

Vant维护者的Token被恶意窃取,攻击者利用此机会注入恶意代码。

关键观点3: 攻击细节

攻击者在package.json中添加"postinstall"命令,安装时执行恶意脚本。在受影响的版本中下载并运行名为"vant_helper"的挖矿程序,并窃取用户云服务凭据。

关键观点4: 受影响范围

Vant的4.9.11 - 4.9.14、3.6.13 - 3.6.15、2.13.3 - 2.13.5版本受影响;Rspack的@rspack/core和@rspack/cli的1.1.7版本受影响。

关键观点5: 应对措施和建议

尽快升级Vant和Rspack到安全版本,停止使用受影响的版本。加强供应链安全意识,注意前端供应链安全的问题。


文章预览

大家好,我是 ConardLi 。 今天,前端社区又爆发了一起严重的供应链投毒事件。知名开源组件库 Vant 和构建工具 Rspack 遭遇恶意代码注入。 事件的开端源于 Vant 的维护者 landluck (应该是被攻击者恶意窃取了 Token)将带有恶意脚本的版本发布到了 npm 仓库。攻击者在 package.json 中添加了 "postinstall": "node lib/utils/support.js" ,该命令在安装时会执行恶意脚本。 社区用户在使用过程中发现异常,并在 GitHub 上报告了这一问题,迅速引起了开发团队的注意。 随后 Vant 维护者标记了受攻击的版本: 紧接着,攻击蔓延到 Rspack 。推测攻击者利用 landluck 的 npm 和 GitHub 令牌,获取了在同一 GitHub 组织下的 Rspack 维护者的 npm 令牌。 随即,攻击者发布了含有相似攻击机制的 @rspack/core 和 @rspack/cli 的 1.1.7 版本,Rspack 用户反馈了该问题: 受影响范围 Vant 受影响 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览