前端工程反思 - 从 YOLO、Vant 等知名开源项目上游依赖被注入恶意挖矿应用谈谈 FOSS 的信任危机

本文链接：https://blog.csdn.net/m0_38015699/article/details/144667859

尤其是yolo这个知名库，还有前端的vant被植入挖坑恶意代码，简直是防不胜防，在很久之前我就写了篇文章，还置顶了前端工程反思笔记：从 CDN 依赖包被删导致个站打不开到数年前因11 行代码导致上千项目崩溃谈谈npm黑洞，里面就呼吁大家使用无依赖的包进行开发，但似乎任重道远，这种攻击手段也是一个防不胜防的。尤其是作为管理者，如果你管理的程序员安装了个第三方依赖，它的维护者又不是知名开源团体，就需要警惕了。之前在知乎就看到过相关的回答，有人提问如何让自己被辞退后代码就不可用，有人就提到了自己弄一个知名库的版本例如lodash.js然后引入，如果被辞退了，就改这个依赖，注入一些随机性的行为让错误不容易被发现。没想到，真有人这么做了！可怕

不要放过每一个包，重视FOSS，优先使用0依赖库开发自己的库，对依赖树要完全的掌控！

前言：开源软件的光与影

开源软件（FOSS, Free and Open Source Software）推动了技术发展的浪潮。无论是 YOLO（深度学习工具）还是 Vant（UI 组件库），都在我们的日常开发中扮演了重要角色。然而，近期频发的供应链攻击事件，让人们对开源软件的信任产生了前所未有的危机。攻击者利用开源项目的依赖链条，通过注入恶意代码污染整个生态，造成了隐秘但深远的危害。

这些攻击不仅暴露了开源供应链的脆弱性，还凸显了对依赖管理和代码审查的迫切需求。本文将重点剖析这些攻击的手段、影响，以及如何应对这一日益复杂的威胁。

攻击手段解析：隐秘且精准的操作

供应链攻击的核心目标是利用开源项目的上游依赖注入恶意代码。攻击手段通常精心设计，具备隐蔽性和高效传播性，主要分为以下几个关键步骤：

1. 入侵目标包：夺取控制权

攻击者通过钓鱼邮件、窃取维护者账户等方式，获取了某个依赖包的控制权。
被选中的依赖通常是小型且不常审查的上游非直接依赖包，例如 Vant 依赖的某些工具类 npm 包。
这些包通常在开发者的依赖树中存在较深，但却广泛传播，影响面巨大。

2. 恶意代码注入：植入恶意脚本

一旦获得依赖的控制权，攻击者会注入恶意脚本。这些脚本通常利用 npm 提供的生命周期钩子（如 postinstall）运行恶意代码。

典型操作：
1. postinstall 执行：
  - 恶意脚本在安装依赖时自动执行，下载恶意程序。
2. 伪装与重命名：
  - 恶意程序被下载到本地后，立即被重命名伪装成合法的库文件，以隐藏其真实用途。
3. 挖矿与后门：
  - 恶意程序启动后，会在后台执行加密货币挖矿，或者打开后门以便后续攻击。
4. 动态行为：
  - 有些脚本会动态判断运行环境（如开发环境或生产环境），以避免被安全工具过早发现。
实际案例：Vant 的依赖事件
在 Vant 的依赖链中，上游某个包的 postinstall 脚本被注入了恶意代码。该代码会在安装依赖时自动下载一个挖矿应用，将其重命名伪装成正常的库文件，并在后台悄悄运行。由于攻击者精心设计，许多开发者在数天内完全没有察觉。

3. 小版本更新：隐秘传播

攻击者通常会选择一个小版本号更新（例如从 1.0.2 到 1.0.3），因为大多数包管理工具默认会自动安装最新的小版本。
利用包管理工具的自动化机制，恶意版本能够快速传播到全球数以千计的项目中。
这种攻击尤其容易感染开发环境，因为开发者通常会频繁更新依赖，下载到恶意版本的可能性更高。

4. 目标达成：恶意程序运行

一旦恶意代码成功安装并运行，其可能执行以下任务：

挖矿行为：
- 使用设备的 CPU 和 GPU 资源进行加密货币挖矿，严重拖慢开发机器或服务器性能。
- 由于挖矿应用伪装成正常文件，许多开发者未能及时发现。
数据窃取：
- 恶意程序可能读取环境变量中的敏感信息（如 API 密钥、数据库密码）。
远程控制：
- 攻击者通过恶意程序建立后门，随时获取系统的访问权限，用于后续攻击。