Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

vant 2.13.5 / 3.6.13 / 4.9.13 等版本被植入恶意代码(已修复) #13275

Closed
novlan1 opened this issue Dec 19, 2024 · 36 comments
Closed

Comments

@novlan1
Copy link

novlan1 commented Dec 19, 2024

Reproduction Link

Vant Version

2.13.5

Describe the Bug

是不是被投毒了,怎么做到的

Reproduce Steps

npm i vant@2.13.5 现在已经没有了

Device / Browser

No response

@inottn
Copy link
Collaborator

inottn commented Dec 19, 2024

参考:#13273

@grayddq
Copy link

grayddq commented Dec 19, 2024

vant不再可信了,大面积投毒挖矿了,全网感染了一大片。

@fengmk2
Copy link

fengmk2 commented Dec 19, 2024

cnpm/bug-versions#262

@chenjiahan
Copy link
Member

vant不再可信了,大面积投毒挖矿了,全网感染了一大片。

很抱歉发生这次事件,我们已经处理了异常版本,请参考 #13273 了解更多信息

@y779102260
Copy link

能确认这个病毒的影响范围吗?会自动扩散吗?会盗取密钥啥的吗?

@chenjiahan
Copy link
Member

正在联系专业的安全团队进行评估分析

@lant1s
Copy link

lant1s commented Dec 19, 2024

有解决方案吗,植入的木马怎样清除?
另外被写入的恶意代码能分享一下吗,我们做下排查溯源

@chenjiahan chenjiahan changed the title vant 2.13.5 被投毒,挖矿 vant 2.13.5 / 3.6.13 / 4.9.13 等版本被植入恶意代码(已修复) Dec 19, 2024
@chenjiahan
Copy link
Member

@lant1s 可以在 https://www.npmjs.com/package/vant?activeTab=codelib/utils/support.js 里查看代码,我们还在排查中

@yoyo837
Copy link
Contributor

yoyo837 commented Dec 19, 2024

image

这样看

@lant1s
Copy link

lant1s commented Dec 19, 2024

应该是从http://80.78.28.72/tokens获取的门罗币挖矿配置文件,目前已经无法访问
下载github上的门罗币程序:https://github.com/xmrig/xmrig/releases/download/v6.22.2/xmrig-6.22.2-linux-static-x64.tar.gz

475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j
image
image
image

@xieyezi
Copy link
Contributor

xieyezi commented Dec 19, 2024

@chenjiahan 请问小程序版本有没有影响?

@chenjiahan
Copy link
Member

小程序版本没有受到影响,近期也没有发布哈

@iifiigii
Copy link

https://api.github.com/repos/youzan/vant/git/blobs/8ed1c9256b4bfeb3e4f5aaff48bf140398361ae3 这个是我从样本中提取的payload下载地址,base64解码后保存为tar.gz格式,解压后木马与我阿里云收到的告警hash一致

@cloydlau
Copy link

cloydlau commented Dec 19, 2024

如果只是 npm 的 token 被盗用了而 github 没有被盗的话,理论上用这个会有帮助:
https://github.blog/security/supply-chain-security/introducing-npm-package-provenance/
即使 github 也被盗了,用这个可以追踪到具体的植入提交源代码,影响面更加透明、maintainers 发现更加及时。

一个猜测:即使发布了 provenance 的版本,攻击者仍然可以再次发布普通版本、被用户下载使用。用户在安装依赖之前默认安装最新版,没多少人会去看有没有 provenance。因此针对曾经 provenance 过又再次发布非 provenance 版本的依赖,npm、各家包管理器等可以采取适当措施加以限制或警告。

@chenjiahan
Copy link
Member

@cloydlau 感谢建议,Rspack 项目之前已经开启了 provenance,我们会尽快为 Vant 也开启 provenance。

各家包管理器等可以采取适当措施加以限制或警告。

很棒的建议,目前已经有相关的 issue,参考 pnpm/pnpm#8889

@chenjiahan
Copy link
Member

恶意代码分析结果可以参考:web-infra-dev/rspack#8767 (comment)

@guo0588
Copy link

guo0588 commented Dec 20, 2024

H5 2.12.37 版本会不会影响。

@M69W
Copy link

M69W commented Dec 20, 2024

H5 2.12.37 版本会不会影响。

请参考 #13273

@q569608465
Copy link

我们正好在12月19日早上9:53分在服务器上运行下载了4.9.14版本,请问会有什么影响?

@yoyo837
Copy link
Contributor

yoyo837 commented Dec 20, 2024

我们正好在12月19日早上9:53分在服务器上运行下载了4.9.14版本,请问会有什么影响?

赶紧处理,你的服务器正在帮黑客挖矿

@q569608465
Copy link

4.9.14

@yoyo837 这边已经运行到4.9.15版本。请问还需要做什么处理呢?

@yoyo837
Copy link
Contributor

yoyo837 commented Dec 20, 2024

4.9.14

@yoyo837 这边已经运行到4.9.15版本。请问还需要做什么处理呢?

没了

@yoyo837
Copy link
Contributor

yoyo837 commented Dec 20, 2024

是不是再重启一下服务器检查一下进程保险些?

@q569608465
Copy link

是不是再重启一下服务器检查一下进程保险些?
@yoyo837 嗯,请问它那个挖矿程序是自动下载的吗?下载后会自动运行吗?

@yoyo837
Copy link
Contributor

yoyo837 commented Dec 20, 2024

可以参考 web-infra-dev/rspack#8767 (comment) 的分析

@q569608465
Copy link

是不是再重启一下服务器检查一下进程保险些?

@yoyo837 有没有进程标识可以排查?

@yoyo837
Copy link
Contributor

yoyo837 commented Dec 20, 2024

是不是再重启一下服务器检查一下进程保险些?

@yoyo837 有没有进程标识可以排查?

我个人没有安装到恶意版本,也没有去细致分析这个问题,可能回答不了你的问题。

@q569608465
Copy link

是不是再重启一下服务器检查一下进程保险些?

@yoyo837 有没有进程标识可以排查?

我个人没有安装到恶意版本,也没有去细致分析这个问题,可能回答不了你的问题。

@yoyo837 还是很感谢你上面的回答!

@q569608465
Copy link

vant不再可信了,大面积投毒挖矿了,全网感染了一大片。

@grayddq 你们也下载了有问题的版本吗?它是自动下载的,下载后会自动运行吗?你们如何处理,有没有进程标识可以排查?

@q569608465
Copy link

正在联系专业的安全团队进行评估分析

@chenjiahan 我们正好在12月19日早上9:53分在服务器上运行下载了4.9.14版本,在2月19日早上10:35分再次运行下载了4.9.15版本。后续如果评估出风险和应对处理办法麻烦及时通知一下,目前我们对该恶意程序没有进一步了解,也不清楚如何进一步处理来确保安全性。

@yoyo837
Copy link
Contributor

yoyo837 commented Dec 20, 2024

业务系统应该保留lock文件,不要图省事自动更新,即便不是投毒,上游包一个小bug也能弄瘫痪

@chenjiahan
Copy link
Member

@q569608465 风险可以参考 web-infra-dev/rspack#8767 (comment) 里的代码

主要是被用于挖矿,以及云服务器 token 泄露的风险。

@q569608465
Copy link

@q569608465 风险可以参考 web-infra-dev/rspack#8767 (comment) 里的代码

主要是被用于挖矿,以及云服务器 token 泄露的风险。

@chenjiahan 这个主要是在编译构建的时候会有风险,构建好的产物是没问题的吧

@jeff-fe
Copy link

jeff-fe commented Dec 20, 2024

@q569608465 风险可以参考 web-infra-dev/rspack#8767 (comment) 里的代码
主要是被用于挖矿,以及云服务器 token 泄露的风险。

@chenjiahan 这个主要是在编译构建的时候会有风险,构建好的产物是没问题的吧

对构建完成的静态资源没有影响,而且病毒中获取挖矿配置的服务已经停了http://80.78.28.72/tokens

@q569608465
Copy link

@q569608465 风险可以参考 web-infra-dev/rspack#8767 (comment) 里的代码
主要是被用于挖矿,以及云服务器 token 泄露的风险。

@chenjiahan 这个主要是在编译构建的时候会有风险,构建好的产物是没问题的吧

对构建完成的静态资源没有影响,而且病毒中获取挖矿配置的服务已经停了http://80.78.28.72/tokens

@jeff-fe 好的,谢谢回答。

@lant1s
Copy link

lant1s commented Dec 20, 2024

生成的恶意文件路径/tmp/vant,文件hash如下:
SHA256:a49850104d152bb259a04487da64b7f09d114e00c57b175cbbf49a4cc55d4ace
MD5:3fcd8dfb1f17120ee1f4220c6b2d3b13
SHA1:9de8ab49e6681bf8978063f804161fa56696d40d

沙箱结果
https://s.threatbook.com/report/file/a49850104d152bb259a04487da64b7f09d114e00c57b175cbbf49a4cc55d4ace

主要排查
是否进程:vant
是否存在网络连接:141.94.96.71
暂时无法确定是否有维持权限操作,持续观察。

另外根据https://github.com/web-infra-dev/rspack/issues/8767#issuecomment-2555772131报告,还需要排查是否存在以下信息泄露的情况,如有信息泄露,请及时修改
${os.homedir()}/.aliyun/config.json,
${os.homedir()}/.hcloud/config.json,
${os.homedir()}/.tccli/default.credential

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Projects
None yet
Development

No branches or pull requests