北京赛克艾威科技有限公司 2024-12-19
Rspack 是基于 Rust 编写的高性能 JavaScript 打包工具。 由于Rspack 团队成员的 npm token被窃取,@rspack/core 和 @rspack/cli 1.1.7 版本被插入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig\(钱包地址:475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j\),并窃取用户云服务凭据\( /.aliyun/config.json、/.hcloud/config.json 以及 \~/.tccli/default.credential文件\)并发送到攻击者可控的服务器地址。
1. 避免安装被投毒组件
https://www.oscs1024.com/hd/MPS-nkoe-mj8g
https://github.com/web-infra-dev/rspack/issues/8767#issuecomment-2552738907