NPM组件包 vant部分版本内嵌挖矿代码

Vant 是一个轻量、可定制的移动端组件库,于 2017 年开源。

目前 Vant 官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本,并由社区团队维护 React 版本和支付宝小程序版本。

Vant 2 版本:https://vant-ui.github.io/vant/v2/#/zh-CN/home

Vant 3 版本:https://vant-ui.github.io/vant/v3/#/zh-CN/home

Vant 4 版本:https://vant-ui.github.io/vant/#/zh-CN/home

漏洞描述:

由于开发者团队成员的 npm token被窃取,攻击者向 Vant 组件植入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig(钱包地址:475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j),并窃取用户云服务凭据( /.aliyun/config.json、/.hcloud/config.json 以及 ~/.tccli/default.credential文件)并发送到攻击者可控的服务器地址。

影响范围:

2.13.3 <= npm版本 <= 2.13.5

3.6.13 <= npm版本 <= 3.6.15

4.9.11 <= npm版本 <= 4.9.14

修复建议:

开发者团队当前已弃用上述版本,如使用过上述版本的请进行自检

参考链接:

https://github.com/youzan/vant/issues/13275
https://github.com/youzan/vant/discussions/13273

相关推荐
IT小白杨13 小时前
从移动指纹到App隔离:TikTok Shop跨境电商账号安全管理实战
安全·新媒体运营·业界资讯·指纹浏览器
invicinble13 小时前
c端系统,其实更像一个信息展示平台
前端
李姆斯14 小时前
管理是否可以被完全量化
前端·产品经理·团队管理
工程管理笔记14 小时前
工程发票与资金管理系统:蓝燕云进销项发票台账功能
安全
名字还没想好☜14 小时前
Next.js 中间件实战:鉴权、重定向与 A/B 分流
开发语言·前端·javascript·中间件·react·next.js
广州灵眸科技有限公司15 小时前
瑞芯微RV1126B开发板(EASY-EAI-PI2) INI文件操作
java·前端·javascript·网络·人工智能
江华森15 小时前
Web 开发基础:HTTP 与 REST
前端·网络协议·http
IT_陈寒16 小时前
Redis的KEYS命令把我搞崩溃了,改用SCAN才活过来
前端·人工智能·后端
Jackson__16 小时前
为什么 Agent 越聊越慢?聊聊 Context(上下文)管理
前端·agent·ai编程
KaMeidebaby16 小时前
卡梅德生物技术快报|抗体合成:多肽抗体合成工程化方案:Nsp2 保守肽多抗制备与多维度验证
前端·网络·数据库·人工智能·算法