新的前端 npm 包投毒事件

2023-01-05 19:11:27 +08:00
 CHTuring

起因:vue 官方转发推文( https://twitter.com/ewind1994/status/1610868861976604673 ),一个名为 chalk-next 复刻 chalk 的包文件中包含递归删除本地配置代码。

NPM 地址: https://www.npmjs.com/package/chalk-next

NPM 帐号: https://www.npmjs.com/~vabjs

作者:chu1204505056 ,为 vue-admin-beautiful 前端 Admin 项目的作者

Github: https://github.com/chuzhixin

查到 V2EX 相关贴:《实名抵制 vue-admin-beautiful 》( https://www.v2ex.com/t/793276?p=1

35100 次点击
所在节点    程序员
222 条回复
oxromantic
2023-01-05 19:49:03 +08:00
https://www.v2ex.com/t/711701 看了下,躺着骗钱不香么,为啥还要投毒
molvqingtai
2023-01-05 19:49:11 +08:00
从他的营销 vue-admin-beautiful 就感到恶心,果然丑人多作怪
ddsfeng
2023-01-05 20:31:05 +08:00
https://www.npmjs.com/package/chokidar-next?activeTab=explore

搜索 thanks

不止 chalk-next 投了, 其他的一些 -next 都有, 这人真是不怕死啊, 干这种缺德事..
mokeyjay
2023-01-05 20:36:01 +08:00
如何确定这个 vabjs 就是 chu1204505056 呢?
rabbbit
2023-01-05 20:37:45 +08:00
这个人的 github 首页的 Pinned 里为什么有 element-ui 和 vue-cli
是贡献过代码吗?
ddsfeng
2023-01-05 20:41:01 +08:00
@mokeyjay 看这个 https://www.npmjs.com/org/chu1204505056
molvqingtai
2023-01-05 20:41:38 +08:00
@mokeyjay 这个账号名下的 package 里面的部分链接 指向 vue-admin-beautiful
pokon548
2023-01-05 20:42:09 +08:00
这种删代码的行为,在国内妥妥的算计算机入侵罪吧...
rabbbit
2023-01-05 20:42:40 +08:00
研究了一下,Github 只要贡献过代码,无论多少,只要合并了就能把这个项目放到自己的 Pinned 里.
不知道的还以为是作者...
h404bi
2023-01-05 20:45:13 +08:00
~vabjs 下其它不少还在的包都有类似操作,吓人..

https://www.npmjs.com/package/vue-plugin-rely?activeTab=explore
PTLin
2023-01-05 20:59:04 +08:00
可怜,这人生活得过的多不如意才能把删除别人文件的函数起名叫 thanks
makelove
2023-01-05 21:04:16 +08:00
如果真造成了损失有人报警,警察管不管,毕竟相当于实名犯罪了很好抓人
msojocs
2023-01-05 21:09:15 +08:00
![W5ID3.png]( https://i.328888.xyz/2023/01/05/W5ID3.png)
如果,它的目的是出于授权检测,那就不应该放在公开站点上;
很明显,想赚钱又想白嫖免费公共服务。
ihciah
2023-01-05 21:13:03 +08:00
@msojocs 这接口贴出来,怕不是要被 v 站礼仪一下。。
gitjavascript
2023-01-05 21:22:46 +08:00
草,还有这种败类?
qeqv
2023-01-05 21:23:13 +08:00
开放源代码,却又给未授权用户投毒,意义何在?
msojocs
2023-01-05 21:28:37 +08:00
@ihciah 但是拿到接口不难啊,想弄的人转一下 unicode 就出来了。
WinkeyLin
2023-01-05 21:36:54 +08:00
@msojocs 哈哈,接口返回 302 直接删库,暂时没发现怎么触发,猜测是作者针对特定 License 留的报复后门,这种”开源项目“还真有人敢用
https://pbs.twimg.com/media/Flr0Ze0aYAIWBBs?format=jpg&name=large
ihciah
2023-01-05 21:41:35 +08:00
@msojocs 233 我意思是会被 D 成天价账单
jenlors
2023-01-05 21:48:56 +08:00
还有这种垃圾?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/906834

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX