Yoo趣儿

Yoo趣儿 Geek 程序员 Vant 组件被投毒了

Vant 组件被投毒了

查看 66|回复 6
作者:jimor   
1 、开发者 token 被盗用了,Vant 组件代码中被攻击者植入恶意代码,当用户安装时会下载并运行挖矿程序
2 、参考: https://github.com/youzan/vant/discussions/13273
3 、受影响版本:
Vant
4.9.14
4.9.13
4.9.12
4.9.11
3.6.15
3.6.14
3.6.13
2.13.5
2.13.4
2.13.3
Rspack
v1.1.7
----------
老东家的移动端项目都是用这个,估计他们没啥反应
horro   
我们组用了 rsbuild... 不过用的不是 latest 版本,没中招
jimor
OP
  
@horro 应该还好废弃动作挺快的,这要是埋伏一段时间再暴雷可能就涉及就多了
dfkjgklfdjg   
这是咋发现的
flyqie   
@dfkjgklfdjg #3
感觉像是动作太过迅速触发了第三方安全警报什么的?
看攻击似乎是在快速发版,这很明显不符合常理。
fishlium   
@flyqie 他发版不熟练,之前安装会报错,我就是在报错期间把版本锁了
jimor
OP
  
@dfkjgklfdjg 发的包有问题,报错了
返回列表
您需要登录后才可以回帖 登录 | 立即注册

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息PythonPHPJavaJavaScriptNode.jsGo语言C++HTML

公告

标签|小黑屋|Yoo趣儿

GMT+8, 2024-12-20 18:17 , Processed in 0.011524 second(s), 10 queries , Gzip On, MemCached On.

Powered by Discuz! X3.2

The happiest thing in the world is to strive for an ideal.

返回顶部