 | chitandaV2EX member #380033, joined on 2019-01-25 11:13:26 +08:00Today's activity rank 20640 |
 | Per chitanda's settings, the topics list is hidden |
Deals info, including closed deals, is not hidden
chitanda's recent replies
9 days ago Replied to a topic by imik 网络安全 好像遇到了 npm 投毒事件 |
我们 CI 也撞了,入口包是 @antv/x6 → @antv/[email protected] ,optionalDependencies 也指到同一个 antvis/G2 commit 1916faa3 。同一个被劫账号 atool 。所以受牵连的不只 @antv/g6 那几条链。
没中招是运气好runner 镜像默认 node:18.20.0 不带 bun ,preinstall 跑 `bun run index.js` 直接 command not found ,install 整体挂掉,payload 没机会跑。如果环境有 bun 估计就和你一样了。
触发条件挺刁:lockfile 是 v9 ( pnpm 9 生成)但 CI 装的是 pnpm@latest-8 ,pnpm 8 看到不兼容直接 ignore ,加 --no-frozen-lockfile ,@antv/x6-geometry 就从锁的 2.0.5 ( 3 年前的合法版)漂到刚发的 2.2.5 。三个条件少一个都不会撞。
safedep 今天发了完整分析:
https://safedep.io/mini-shai-hulud-strikes-again-314-npm-packages-compromised
631 个恶意版本跨 314 个包,22 分钟批量发完。
antvis/G2 也有 [SECURITY] issue 了:
https://github.com/antvis/G2/issues/7394
那个 `&& exit 1` 挺阴的,payload 跑完凭据偷走才故意让 prepare 报错,让人以为是构建 bug 去查 lockfile ,攻击成功反而藏在 install 失败里。看到 ERR_PNPM_PREPARE_PACKAGE 别只想着 lockfile 。
几个 IoC 摘几条。恶意 index.js 是 ~500KB 单行无换行混淆,obfuscator.io 风格 hex 变量名。payload SHA256 是 a68dd1e6a6e35ec3771e1f94fe796f55dfe65a2b94560516ff4ac189390dfa1c 。攻击者用偷的 token 创建的 C2 仓库命名是 Dune 词配数字,比如 sardaukar-sandworm-42 这种。CI 环境会被识别,GITHUB_ACTIONS / GITLAB_CI 等 20+ 平台都覆盖,OIDC 会被换成 npm publish token 。
package.json 里加 pnpm overrides 钉版本:
"pnpm": { "overrides": { "@antv/x6-geometry": "2.0.5" } }
用到的每个 @antv 包都得钉,今天先别 install 。
没中招是运气好runner 镜像默认 node:18.20.0 不带 bun ,preinstall 跑 `bun run index.js` 直接 command not found ,install 整体挂掉,payload 没机会跑。如果环境有 bun 估计就和你一样了。
触发条件挺刁:lockfile 是 v9 ( pnpm 9 生成)但 CI 装的是 pnpm@latest-8 ,pnpm 8 看到不兼容直接 ignore ,加 --no-frozen-lockfile ,@antv/x6-geometry 就从锁的 2.0.5 ( 3 年前的合法版)漂到刚发的 2.2.5 。三个条件少一个都不会撞。
safedep 今天发了完整分析:
https://safedep.io/mini-shai-hulud-strikes-again-314-npm-packages-compromised
631 个恶意版本跨 314 个包,22 分钟批量发完。
antvis/G2 也有 [SECURITY] issue 了:
https://github.com/antvis/G2/issues/7394
那个 `&& exit 1` 挺阴的,payload 跑完凭据偷走才故意让 prepare 报错,让人以为是构建 bug 去查 lockfile ,攻击成功反而藏在 install 失败里。看到 ERR_PNPM_PREPARE_PACKAGE 别只想着 lockfile 。
几个 IoC 摘几条。恶意 index.js 是 ~500KB 单行无换行混淆,obfuscator.io 风格 hex 变量名。payload SHA256 是 a68dd1e6a6e35ec3771e1f94fe796f55dfe65a2b94560516ff4ac189390dfa1c 。攻击者用偷的 token 创建的 C2 仓库命名是 Dune 词配数字,比如 sardaukar-sandworm-42 这种。CI 环境会被识别,GITHUB_ACTIONS / GITLAB_CI 等 20+ 平台都覆盖,OIDC 会被换成 npm publish token 。
package.json 里加 pnpm overrides 钉版本:
"pnpm": { "overrides": { "@antv/x6-geometry": "2.0.5" } }
用到的每个 @antv 包都得钉,今天先别 install 。
17 days ago Replied to a topic by Moonkin 职场话题 我有一招可以在裁员潮的当下反击你的老板,并提高自身竞争力。 |
@HankAviator #42 哥给个 prompt
19 days ago Replied to a topic by yarkyaonj 分享发现 oppo 手机母亲节宣传文案“妈妈有两个老公” |
也不是啥小厂了,这文案都能突破重重审批放出来,只能说从上到下都烂完了
Apr 23 Replied to a topic by websong188 Vibe Coding opus 4.7 消耗太快了 说个暴论: gpt plus 比 5x claude code 还耐用啊 |
用到着急的地方,憋了 3 小时,没忍住升级了 10x
Apr 16 Replied to a topic by ChrisCurry Claude Code 有没有长期关注 Claude 的朋友,我建了一个 Channel 自动抓取 Claude Team 的推文 |
@ChrisCurry #6 TG plz
Apr 15 Replied to a topic by widowcat 生活 大家下班了一般都干啥 |
周一-周五,隔一天运动一次。骑车,最近同一条路骑腻了去跑步,完了回来看看资治通鉴五代史的部分,以前觉得太平年第一集是艺术创作,看了书后发现电视剧都不敢按真历史那么拍
Apr 7 Replied to a topic by neetz 生活 独居生活的人,如何克服缺失亲密关系的孤独感? |
孤独( loneliness ):一种缺失感,“我想要连接但没有”
独处( solitude ):一种构建,“我选择回到自身”
独处( solitude ):一种构建,“我选择回到自身”
Apr 7 Replied to a topic by yifangtongxing28 MacBook Pro 站在目前来说,你倾向 48g 的还是 64g 的 macbook pro |
48g 。64g 多出来的 16g 并不能干什么
Apr 2 Replied to a topic by afkool 程序员 亲测中转确实坑。。说好的江湖呢? |
用中转,还不如买国产 coding plan
Select Language