NPM组件包 vant部分版本内嵌挖矿代码

Vant 是一个轻量、可定制的移动端组件库,于 2017 年开源。

目前 Vant 官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本,并由社区团队维护 React 版本和支付宝小程序版本。

Vant 2 版本:https://vant-ui.github.io/vant/v2/#/zh-CN/home

Vant 3 版本:https://vant-ui.github.io/vant/v3/#/zh-CN/home

Vant 4 版本:https://vant-ui.github.io/vant/#/zh-CN/home

漏洞描述:

由于开发者团队成员的 npm token被窃取,攻击者向 Vant 组件植入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig(钱包地址:475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j),并窃取用户云服务凭据( /.aliyun/config.json、/.hcloud/config.json 以及 ~/.tccli/default.credential文件)并发送到攻击者可控的服务器地址。

影响范围:

2.13.3 <= npm版本 <= 2.13.5

3.6.13 <= npm版本 <= 3.6.15

4.9.11 <= npm版本 <= 4.9.14

修复建议:

开发者团队当前已弃用上述版本,如使用过上述版本的请进行自检

参考链接:

https://github.com/youzan/vant/issues/13275
https://github.com/youzan/vant/discussions/13273

相关推荐
缘的猿3 分钟前
Kubernetes 安全管理:认证、授权与准入控制全面解析
java·安全·kubernetes
IT_陈寒10 分钟前
Vue3性能优化实战:这5个技巧让我的应用加载速度提升70%
前端·人工智能·后端
mumu1307梦13 分钟前
html 占位符
前端·javascript·html
WY20 分钟前
前端项目部署:Nginx 从入门到实战
前端
乾博电子23 分钟前
GFM100 地线连续性检测监控器:破解工业接地痛点,筑牢电力系统安全防线
安全·系统安全·在线监测·在线绝缘监测仪·地线连续性绝缘监测
Apifox24 分钟前
Apifox 9 月更新| AI 生成接口测试用例、在线文档调试能力全面升级、内置更多 HTTP 状态码、支持将目录转换为模块
前端·后端·测试
用户4582031531724 分钟前
CSS性能优化全攻略:提升页面加载与渲染速度
前端·css
CryptoCrawler42 分钟前
文件包含与下载漏洞
网络·安全
90后的晨仔1 小时前
Vue 组件事件完全指南:子父组件通信的艺术
前端·vue.js
90后的晨仔1 小时前
Vue 组件通信全解
前端