漏洞描述
Vant 是由有赞团队开源的基于 Vue.js 的移动端组件库。
由于开发者的 npm token被窃取,攻击者向 Vant 组件植入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig(钱包地址:475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j),并窃取用户云服务凭据( /.aliyun/config.json、/.hcloud/config.json 以及 ~/.tccli/default.credential文件)并发送到攻击者可控的服务器地址。
| 漏洞名称 | NPM组件包 vant 内嵌挖矿代码 |
|---|---|
| 漏洞类型 | 内嵌恶意代码 |
| 发现时间 | 2024-12-19 |
| 漏洞影响广度 | - |
| MPS编号 | MPS-jrez-un4c |
| CVE编号 | - |
| CNVD编号 | - |
影响范围
vant@[3.6.13, 3.6.15]
vant@[4.9.11, 4.9.14]
vant@[2.13.3, 2.13.5]
修复方案
避免安装被投毒组件
参考链接
https://www.oscs1024.com/hd/MPS-jrez-un4c
https://github.com/youzan/vant/issues/13275
https://github.com/youzan/vant/discussions/13273
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
