-
-
Notifications
You must be signed in to change notification settings - Fork 9.5k
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
vant 2.13.5 / 3.6.13 / 4.9.13 等版本被植入恶意代码(已修复) #13275
Comments
参考:#13273 |
vant不再可信了,大面积投毒挖矿了,全网感染了一大片。 |
很抱歉发生这次事件,我们已经处理了异常版本,请参考 #13273 了解更多信息 |
能确认这个病毒的影响范围吗?会自动扩散吗?会盗取密钥啥的吗? |
正在联系专业的安全团队进行评估分析 |
有解决方案吗,植入的木马怎样清除? |
@lant1s 可以在 https://www.npmjs.com/package/vant?activeTab=code 的 |
应该是从http://80.78.28.72/tokens获取的门罗币挖矿配置文件,目前已经无法访问 475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j |
@chenjiahan 请问小程序版本有没有影响? |
小程序版本没有受到影响,近期也没有发布哈 |
https://api.github.com/repos/youzan/vant/git/blobs/8ed1c9256b4bfeb3e4f5aaff48bf140398361ae3 这个是我从样本中提取的payload下载地址,base64解码后保存为tar.gz格式,解压后木马与我阿里云收到的告警hash一致 |
如果只是 npm 的 token 被盗用了而 github 没有被盗的话,理论上用这个会有帮助:
|
@cloydlau 感谢建议,Rspack 项目之前已经开启了 provenance,我们会尽快为 Vant 也开启 provenance。
很棒的建议,目前已经有相关的 issue,参考 pnpm/pnpm#8889 |
恶意代码分析结果可以参考:web-infra-dev/rspack#8767 (comment) |
H5 2.12.37 版本会不会影响。 |
请参考 #13273 |
我们正好在12月19日早上9:53分在服务器上运行下载了4.9.14版本,请问会有什么影响? |
赶紧处理,你的服务器正在帮黑客挖矿 |
@yoyo837 这边已经运行到4.9.15版本。请问还需要做什么处理呢? |
没了 |
是不是再重启一下服务器检查一下进程保险些? |
|
可以参考 web-infra-dev/rspack#8767 (comment) 的分析 |
@yoyo837 有没有进程标识可以排查? |
我个人没有安装到恶意版本,也没有去细致分析这个问题,可能回答不了你的问题。 |
@grayddq 你们也下载了有问题的版本吗?它是自动下载的,下载后会自动运行吗?你们如何处理,有没有进程标识可以排查? |
@chenjiahan 我们正好在12月19日早上9:53分在服务器上运行下载了4.9.14版本,在2月19日早上10:35分再次运行下载了4.9.15版本。后续如果评估出风险和应对处理办法麻烦及时通知一下,目前我们对该恶意程序没有进一步了解,也不清楚如何进一步处理来确保安全性。 |
业务系统应该保留lock文件,不要图省事自动更新,即便不是投毒,上游包一个小bug也能弄瘫痪 |
@q569608465 风险可以参考 web-infra-dev/rspack#8767 (comment) 里的代码 主要是被用于挖矿,以及云服务器 token 泄露的风险。 |
@chenjiahan 这个主要是在编译构建的时候会有风险,构建好的产物是没问题的吧 |
对构建完成的静态资源没有影响,而且病毒中获取挖矿配置的服务已经停了 |
@jeff-fe 好的,谢谢回答。 |
生成的恶意文件路径/tmp/vant,文件hash如下: 主要排查 另外根据https://github.com/web-infra-dev/rspack/issues/8767#issuecomment-2555772131报告,还需要排查是否存在以下信息泄露的情况,如有信息泄露,请及时修改 |
Reproduction Link
Vant Version
2.13.5
Describe the Bug
是不是被投毒了,怎么做到的
Reproduce Steps
npm i vant@2.13.5 现在已经没有了
Device / Browser
No response
The text was updated successfully, but these errors were encountered: