安全圈的开发者们注意了!三个流行的 npm 包 @rspack/core、@rspack/cli 和 Vant 近期被曝遭恶意攻击,攻击者利用窃取的 npm 账户令牌发布了包含加密货币挖矿程序的恶意版本。
受影响的软件包
- Rspack: 一个用 Rust 编写的 JavaScript 打包工具,用于构建和打包 JavaScript 项目。
- Vant: 一个轻量级的 Vue.js UI 组件库,用于构建移动 Web 应用程序。
攻击方式
-
攻击者窃取了开发者的 npm 账户令牌。 -
利用窃取的令牌发布了包含恶意代码的软件包版本。 -
恶意代码会在用户安装软件包时自动执行,并在用户电脑上安装 XMRig 加密货币挖矿程序,秘密挖掘门罗币。
恶意版本
- Rspack: v1.1.7
- Vant: 2.13.3, 2.13.4, 2.13.5, 3.6.13, 3.6.14, 3.6.15, 4.9.11, 4.9.12, 4.9.13, 和 4.9.14
开发者回应
-
Rspack 和 Vant 的开发者均确认其 npm 账户遭到入侵。 -
已发布新的安全版本,并向社区道歉。
安全建议
-
立即检查你的项目是否使用了受影响的软件包版本。 -
尽快升级到安全版本: -
Rspack: v1.1.8 或更高版本 -
Vant: v4.9.15 或更高版本 -
提高安全意识,加强账户安全防护。
小编提醒
近年来,软件供应链攻击事件频发,开发者和用户都需要提高警惕。请大家关注安全动态,及时更新软件版本,保护好自己的电脑和数据安全!
原文始发于微信公众号(技术修道场):警惕!热门 npm 包 Rspack 和 Vant 遭投毒,你的电脑可能已被挖矿!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论