漏洞描述
Rspack 是基于 Rust 编写的高性能 JavaScript 打包工具。
由于Rspack 团队成员的 npm token被窃取,@rspack/core 和 @rspack/cli 1.1.7 版本被插入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig(钱包地址:475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j),并窃取用户云服务凭据( /.aliyun/config.json、/.hcloud/config.json 以及 ~/.tccli/default.credential文件)并发送到攻击者可控的服务器地址。
| 漏洞名称 | NPM组件包 @rspack/core、@rspack/cli 内嵌恶意代码 |
|---|---|
| 漏洞类型 | 内嵌恶意代码 |
| 发现时间 | 2024-12-19 |
| 漏洞影响广度 | - |
| MPS编号 | MPS-nkoe-mj8g |
| CVE编号 | - |
| CNVD编号 | - |
影响范围
@rspack/cli@[1.1.7, 1.1.7]
@rspack/core@[1.1.7, 1.1.7]
修复方案
避免安装被投毒组件
参考链接
https://www.oscs1024.com/hd/MPS-nkoe-mj8g
https://github.com/web-infra-dev/rspack/issues/8767#issuecomment-2552738907
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
