V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
CHTuring
V2EX  ›  程序员

新的前端 npm 包投毒事件

  CHTuring ·
Chanzhaoyu · 2023-01-05 19:11:27 +08:00 · 36436 次点击
这是一个创建于 691 天前的主题,其中的信息可能已经有所发展或是发生改变。

起因:vue 官方转发推文( https://twitter.com/ewind1994/status/1610868861976604673 ),一个名为 chalk-next 复刻 chalk 的包文件中包含递归删除本地配置代码。

NPM 地址: https://www.npmjs.com/package/chalk-next

NPM 帐号: https://www.npmjs.com/~vabjs

作者:chu1204505056 ,为 vue-admin-beautiful 前端 Admin 项目的作者

Github: https://github.com/chuzhixin

查到 V2EX 相关贴:《实名抵制 vue-admin-beautiful 》( https://www.v2ex.com/t/793276?p=1

第 1 条附言  ·  2023-01-05 21:03:57 +08:00
更新:作者在本站,现已将 npm 上 published 记录删除
第 2 条附言  ·  2023-01-06 11:09:21 +08:00
引用 #84 的总结

“基本上捋清楚了,这个 作者自己建的一些诸如"chalk-next"的库是用来检测授权的,作者在自己的收费项目里引用这个包,引用后会上报密钥信息,如果是没花钱就使用的话会被这个包检测出来然后报复姓删除文件。简单来说就是个报复后门。
结果由于起名太过敏感,"-next"一般用于大版本更新,于是有好心人(个人认为提 PR 的可能只是路人,跟作者无关)出于更新包的目的在其他开源项目中提 PR 更新包,也就出现了这次的“投毒”事件。
总之这个作者这个做法实在是太 LOW 了,挺恶心。”
222 条回复    2023-12-01 11:29:36 +08:00
1  2  3  
agdhole
    201
agdhole  
   2023-01-07 18:09:58 +08:00
去年就看到了这个作者,毫无底线,请水军到处刷屏,把开源社区玩成了 pdd 砍一刀,做出这样的事情意料之中
netabare
    202
netabare  
   2023-01-07 21:24:28 +08:00 via Android
@Mexion 同好奇+1 ,后台管理这种东西应该不需要多复杂的逻辑吧,如果说涉及到鉴权、权限管理和接入 api 的事情,一来这个库完全没提到所以应该是没有,二来我觉得敢用这个库做敏感数据处理的人心是真的大。。。
hhjj3388
    203
hhjj3388  
   2023-01-07 22:29:23 +08:00
所以这个 pro 版的源码大家有吗,能给下链接吗!!
justin2018
    204
justin2018  
   2023-01-07 22:45:43 +08:00
这个 vue-admin-beautiful 有啥过人之处?

vue-vben-admin 挺好的呀 为啥要花钱买 ❓
yi0322
    205
yi0322  
   2023-01-07 22:51:33 +08:00
这不是饭圈来的?我不太信
magicdawn
    206
magicdawn  
   2023-01-08 00:13:18 +08:00
suyuyu
    207
suyuyu  
   2023-01-08 03:38:10 +08:00 via Android
这人尽然是女的?
jinliming2
    208
jinliming2  
   2023-01-08 08:41:26 +08:00 via iPhone
@lambdaq 设置个 VUE_APP_SECRET_KEY 环境变量为随便一个字符串试试呢?(这个环境变量名称太一般了,非常容易踩雷)

或者设置个 NODE_ENV 环境变量为 development ,然后建个 src/vab 空目录,再试试呢

上面这两种情况,都会开始删你的 .git 之类的目录

另外,报这个错的时候,.vscode 目录的配置已经删除成功了
Frankcox
    209
Frankcox  
   2023-01-08 09:33:09 +08:00
@suyuyu 应该是经典男扮女
beijinglowb
    210
beijinglowb  
   2023-01-08 10:40:55 +08:00 via iPhone
国内的精神文明和素质水平还没到普及开源的时候
dreamofice
    211
dreamofice  
   2023-01-08 11:02:43 +08:00
@WinkeyLin 笑死《 thanks 》
laike9m
    212
laike9m  
   2023-01-08 13:10:04 +08:00   ❤️ 2
cctv1005s927
    213
cctv1005s927  
   2023-01-08 15:20:06 +08:00
@rolitter 能不要人肉吗?网络的事情网络解决不好吗?
HuskyYellow
    214
HuskyYellow  
   2023-01-08 18:46:45 +08:00
@Mexion 估计这就是咱们不懂下沉市场。不对啊,入行的前端水平不能这么拉啊。
HuskyYellow
    215
HuskyYellow  
   2023-01-08 18:47:59 +08:00
@agdhole 你看看之前 那个作者在 v2 的帖子,你就知道了。
genesislive
    216
genesislive  
   2023-01-08 21:16:38 +08:00
应该举报那个 GitHub 仓库
azui999
    217
azui999  
   2023-01-08 23:15:29 +08:00
挺有意思,这作者挺搞笑的。新年笑话
polarbearn
    218
polarbearn  
   2023-01-09 08:35:27 +08:00
@cctv1005s927 是人肉吗? 这是他自己的网站公开的信息,你真搞笑啊!!!
chenmobuys
    219
chenmobuys  
   2023-01-09 11:12:32 +08:00
前端的包真的是乱的可以,不过也跟前端什么都喜欢用第三方库有关系
后端都是尽量减少依赖,前端反而反着来。
HuskyYellow
    221
HuskyYellow  
   361 天前
今天发现 https://github.com/chuzhixin/chalk-next 还在这辩解呢。
HuskyYellow
    222
HuskyYellow  
   361 天前
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1044 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 28ms · UTC 21:23 · PVG 05:23 · LAX 13:23 · JFK 16:23
Developed with CodeLauncher
♥ Do have faith in what you're doing.