NPM组件包 vant部分版本内嵌挖矿代码

Vant 是一个轻量、可定制的移动端组件库,于 2017 年开源。

目前 Vant 官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本,并由社区团队维护 React 版本和支付宝小程序版本。

Vant 2 版本:https://vant-ui.github.io/vant/v2/#/zh-CN/home

Vant 3 版本:https://vant-ui.github.io/vant/v3/#/zh-CN/home

Vant 4 版本:https://vant-ui.github.io/vant/#/zh-CN/home

漏洞描述:

由于开发者团队成员的 npm token被窃取,攻击者向 Vant 组件植入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig(钱包地址:475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j),并窃取用户云服务凭据( /.aliyun/config.json、/.hcloud/config.json 以及 ~/.tccli/default.credential文件)并发送到攻击者可控的服务器地址。

影响范围:

2.13.3 <= npm版本 <= 2.13.5

3.6.13 <= npm版本 <= 3.6.15

4.9.11 <= npm版本 <= 4.9.14

修复建议:

开发者团队当前已弃用上述版本,如使用过上述版本的请进行自检

参考链接:

https://github.com/youzan/vant/issues/13275
https://github.com/youzan/vant/discussions/13273

相关推荐
Hashan20 分钟前
深入理解:Webpack编译原理
前端·webpack
雲墨款哥23 分钟前
一个前端开发者的救赎之路-JS基础回顾(五)-数组
前端·javascript·面试
朱程26 分钟前
深入JS(一):手写 Promise
前端·javascript
Zero_Era1 小时前
LKT4202UGM重新定义物联网设备安全标准
物联网·安全·嵌入式
Hierifer1 小时前
跨端技术:浅聊双线程原理和实现
前端
中科固源1 小时前
低空飞行安全“把关人”,MH/T 4055.3-2022 测试标准深度解读
安全·低空安全
FreeBuf_1 小时前
加密货币武器化:恶意npm包利用以太坊智能合约实现隐蔽通信
前端·npm·智能合约
老马啸西风1 小时前
sensitive-word 敏感词性能提升14倍优化全过程 v0.28.0
安全·开源·nlp·word·敏感词·sensitive-word
java水泥工2 小时前
基于Echarts+HTML5可视化数据大屏展示-图书馆大屏看板
前端·echarts·html5
半夏陌离2 小时前
SQL 实战指南:电商订单数据分析(订单 / 用户 / 商品表关联 + 统计需求)
java·大数据·前端