新的前端 npm 包投毒事件

2023-01-05 19:11:27 +08:00
 CHTuring

起因:vue 官方转发推文( https://twitter.com/ewind1994/status/1610868861976604673 ),一个名为 chalk-next 复刻 chalk 的包文件中包含递归删除本地配置代码。

NPM 地址: https://www.npmjs.com/package/chalk-next

NPM 帐号: https://www.npmjs.com/~vabjs

作者:chu1204505056 ,为 vue-admin-beautiful 前端 Admin 项目的作者

Github: https://github.com/chuzhixin

查到 V2EX 相关贴:《实名抵制 vue-admin-beautiful 》( https://www.v2ex.com/t/793276?p=1

35334 次点击
所在节点    程序员
222 条回复
Pastsong
2023-01-06 03:56:35 +08:00
https://vab-unicloud-3a9da9.service.tcloudbase.com/getRely
想 D 的去 D 吧
tramm
2023-01-06 08:25:03 +08:00
我居然 star 了他的项目...
Geo200
2023-01-06 08:32:25 +08:00
前端娱乐圈名不虚传
polarbearn
2023-01-06 08:49:39 +08:00
https://vue-admin-beautiful.com/admin-pro/?hmsr=authorization&hmpl=&hmcu=&hmkw=&hmci=#/setting/personalCenter
楚芝馨

qq: 1204505056
https://vue-admin-beautiful.com/authorization/
微信:zxwk-bfq 、zxwk-good-luck
hronro
2023-01-06 08:52:54 +08:00
6 ,都人肉出来了
wangxiaoaer
2023-01-06 09:06:02 +08:00
年纪大了,已经听不懂你们在说什么。

按我的理解投毒是跑到别人的地盘里下毒,用户以为自己用的是信任的类库,结果这类库被第三方篡改,但是这种情况不太可能吧,需要获取到别人 npm 包的控制权。

如果是自己开发的包,里面做一些危险操作,这叫哪门子投毒啊???
YR1044
2023-01-06 09:08:39 +08:00
“立党”还给这人打过广告,成分复杂
https://www.zhihu.com/question/423592827
crysislinux
2023-01-06 09:09:55 +08:00
@wangxiaoaer 这人把正常的包 fork 一下加毒,名字加个 next 然后去依赖这个正常包的项目发 PR 把别人的依赖改成他的包。这不就是投毒么。。不过一般这种 PR 不太会被合并就是了。
wangxiaoaer
2023-01-06 09:13:55 +08:00
@crysislinux #48 这就是篡改用户信任的类库,但是篡改被拦截了,这也是为什么大家都普遍用知名类库的原因吧,PR 之类都有人审核。
hangbale
2023-01-06 09:15:39 +08:00
@rolitter 按你发的 qq 号 我搜出来叫 初志鑫 男的 手机号 186 开头
ZoeeoZ
2023-01-06 09:16:16 +08:00
这个人被挂了好久了吧
lyusantu
2023-01-06 09:18:26 +08:00
我们人多,不缺傻子的,这种善于利用舆论和喜欢引战碰瓷的人,无论怎么样都会有人进行吹捧
MiketsuSmasher
2023-01-06 09:19:15 +08:00
前端娱乐圈名不虚传
CHTuring
2023-01-06 09:25:20 +08:00
@wangxiaoaer 项目后缀加 -next ,并且 README 都没改,一般人都会认为是官方包的下个大版本。作为个人 fork 一般加自己的前缀。虽然你可以这么这么命名,但是你修改代码后发到公共分发上面,性质就是恶劣的。
jinliming2
2023-01-06 09:27:10 +08:00
@wangxiaoaer #49 你可以看楼主贴的推特下面的回复,这个 pr 应该只是看依赖里已经有这个了,所以帮着改了下代码,实际上这个有毒的包早就在依赖树里了,项目早就被投毒污染了
rongchuan
2023-01-06 09:31:47 +08:00
@wangxiaoaer 就相当于他写了个病毒,起个跟知名包一样的名字,故意混淆视听,坑别人。如果他是出于学习的目的,完全可以在包的 README 里提及不要使用自己的包,或者干脆就别取这种名,但是他没有。
这就是纯粹的故意投毒,性质恶劣,我理解这是犯法的吧?
zw1one
2023-01-06 09:33:10 +08:00
用恶心人的营销来做开源,没犯法,但该骂。为了自己赚点钱把开源两个字搞臭了,活该被抵制。
leedarmau
2023-01-06 09:33:45 +08:00
我贴个链接,更恶心
https://www.zhihu.com/question/423592827
wangxiaoaer
2023-01-06 09:34:43 +08:00
@rongchuan #56 我不是说性质不恶劣,而是说如果只是在自己的包里加料,这算不上投毒。

但是楼上有人解释这个加料的包已经被作为依赖引入到了其他类库中,这就算投毒了。
abc0123xyz
2023-01-06 09:36:51 +08:00
不知道有没有缴税,举报一下试试?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/906834

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX