Vant 组件被投毒了

1 、开发者 token 被盗用了，Vant 组件代码中被攻击者植入恶意代码，当用户安装时会下载并运行挖矿程序
2 、参考： https://github.com/youzan/vant/discussions/13273
3 、受影响版本：
Vant
4.9.14
4.9.13
4.9.12
4.9.11
3.6.15
3.6.14
3.6.13
2.13.5
2.13.4
2.13.3
Rspack
v1.1.7

----------

老东家的移动端项目都是用这个，估计他们没啥反应

horro

312 天前

我们组用了 rsbuild... 不过用的不是 latest 版本，没中招

jimor

312 天前

@horro 应该还好废弃动作挺快的，这要是埋伏一段时间再暴雷可能就涉及就多了

flyqie

312 天前

@dfkjgklfdjg #3

感觉像是动作太过迅速触发了第三方安全警报什么的？

看攻击似乎是在快速发版，这很明显不符合常理。

fishlium

312 天前

@flyqie 他发版不熟练，之前安装会报错，我就是在报错期间把版本锁了

flyqie

312 天前

@fishlium #5

感谢分享。

估计他现在正在后悔的直拍大腿吧。

f2A2RUpR2HgfHg5a

312 天前

好家伙，看来还是本地构建然后部署到服务器才相对安全，不然这种事情防不胜防。

paopjian

312 天前

现在供应链投毒可真是多, 感觉知名库的开发者都得补补课防止老是出这事了, 既然都有开源基金会, 是不是可以托管个开源安全组织

kepenj

312 天前

https://github.com/web-infra-dev/rspack/issues/8767#issuecomment-2555772131 看有老哥反向出来的脚本还有国家限制 json ，啧啧啧....

gaoryrt

311 天前

@kepenj ```
const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"];

if (!restrictedCountries.includes(countryCode)) {
process.exit(0);
}
```

难评

hellodigua

311 天前

@gaoryrt 笑晕，判断只有中国、俄罗斯、香港、白俄罗斯、伊朗、未知区域的设备才能挖矿，这一整个针对中俄联盟的是吧

realpg

311 天前

@hellodigua #17
符合东 3 区到东 5 区网络攻击者的一贯风格
不过一般他们还愿意加一个伪装
比如
const restrictedCountries = ["CN", "RU", "HK", "UNK", "BY", "IR"];
他们一般会故意写成
const guojia = ["CN", "RU", "HK", "UNK", "BY", "IR"];

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1098988

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.