北京赛克艾威科技有限公司 2024-12-19
Vant 是由有赞团队开源的基于 Vue.js 的移动端组件库。 由于开发者的 npm token被窃取,攻击者向 Vant 组件植入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig\(钱包地址:475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j\),并窃取用户云服务凭据\( /.aliyun/config.json、/.hcloud/config.json 以及 \~/.tccli/default.credential文件\)并发送到攻击者可控的服务器地址。
1. 避免安装被投毒组件
https://www.oscs1024.com/hd/MPS-jrez-un4c
https://github.com/youzan/vant/issues/13275