https://github.com/TanStack/router/issues/7383
涉及多个包和多个最近版本。注入脚本会扫描并窃取开发者电脑上的各类凭证,包括 AWS/GCP 密钥、Kubernetes token 、Vault token 、GitHub token 、SSH 密钥以及 ~/.npmrc 文件。
评论里有人提到撤销被盗 Token 还会导致病毒报复性删除用户目录:
撤销令牌时请务必小心。看起来该有效载荷在 ~/.local/bin/gh-token-monitor.sh 处安装了一个“死人开关”,并将其作为 systemd 用户服务 (Linux) / LaunchAgent com.user.gh-token-monitor (macOS) 运行。它每 60 秒使用被盗令牌轮询 api.github.com/user ,如果令牌被撤销 (HTTP 40x),它就会执行 rm -rf ~/。(看起来它可能还有一堆持久化机制。我还没仔细研究这些。)
看来是挺严重的。
 |
1
WispZhan 1h 31m ago via Android
卧槽(表达惊讶)
|
 |
2
daysv 1h 21m ago
TanStack 居然被投毒? 有理由怀疑现在开源社区已经被黑产大范围盯上了,甚至很多作者被收买了。
|
 |
3
Danswerme 1h 17m ago  1
害怕,这样下去以后只能在 docker 中进行应用开发了。
|
 |
4
Bronya 1h 8m ago
怎么哪哪都是毒(害怕)
|
 |
5
evansun 29 mins ago
可怕,我刚开始做的个人博客项目用的这个玩意
|
Select Language