NPM 组件包 vant 内嵌挖矿代码
漏洞描述
Vant 是由有赞团队开源的基于 Vue.js 的移动端组件库。
由于开发者的 npm token被窃取,攻击者向 Vant 组件植入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig(钱包地址:475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j),并窃取用户云服务凭据( /.aliyun/config.json、/.hcloud/config.json 以及 ~/.tccli/default.credential文件)并发送到攻击者可控的服务器地址。
| 漏洞名称 | NPM组件包 vant 内嵌挖矿代码 |
|---|---|
| 漏洞类型 | 内嵌恶意代码 |
| 发现时间 | 2024-12-19 |
| 漏洞影响广度 | - |
| MPS编号 | MPS-jrez-un4c |
| CVE编号 | - |
| CNVD编号 | - |
影响范围
vant@[3.6.13, 3.6.15]
vant@[4.9.11, 4.9.14]
vant@[2.13.3, 2.13.5]
修复方案
避免安装被投毒组件
参考链接
https://www.oscs1024.com/hd/MPS-jrez-un4c
https://github.com/youzan/vant/issues/13275
https://github.com/youzan/vant/discussions/13273
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
NPM组件包 @rspack/core、@rspack/cli 内嵌恶意代码
漏洞描述 Rspack 是基于 Rust 编写的高性能 JavaScript 打包工具。 由于Rspack 团队成员的 npm token被窃取,@rspack/core 和 @rspack/cli 1.1.7 版本被插入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig(钱包地址:475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j),并窃取用户云服务凭据( /.aliyun/config.json、/.hcloud/config.json 以及 ~/.tccli/default.credential文件)并发送到攻击者可控的服务器地址。 漏洞名称 NPM组件包 @rspack/core、@rspack/cli 内嵌恶意代码 漏洞类型 内嵌恶意代码 发现时间 2024-12-19 漏洞影响广度 - MPS编号 MPS-nkoe-mj8g CVE编号 - CNVD编号 - 影响范围 @rspack/cli@[1.1.7, 1.1.7] @r...
- 下一篇
Apache MINA 反序列化漏洞
漏洞描述 Apache MINA 是一个功能强大、灵活且高性能的网络应用框架。它通过抽象网络层的复杂性,提供了事件驱动架构和灵活的 Filter 链机制,使得开发者可以更容易地开发各种类型的网络应用。 Apache MINA 框架的 ObjectSerializationDecoder 类中存在一个反序列化漏洞。漏洞原因是ObjectSerializationDecoder 使用 Java 原生的反序列化机制处理传入的字节流时,没有进行充分的安全性检查和类名过滤。使得攻击者可以通过构造恶意序列化数据,利用 Java 反序列化机制的缺陷执行任意代码。 该漏洞仅在应用程序使用 IoBuffer#getObject() 方法,并通过ProtocolCodecFilter和ObjectSerializationCodecFactory进行数据处理时才会受到影响。 漏洞名称 Apache MINA 反序列化漏洞 漏洞类型 反序列化 发现时间 2024-12-25 漏洞影响广度 - MPS编号 MPS-dv4y-8zur CVE编号 CVE-2024-52046 CNVD编号 - 影响范围 org...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2全家桶,快速入门学习开发网站教程
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- 2048小游戏-低调大师作品
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS关闭SELinux安全模块
微信收款码
支付宝收款码