https://github.com/TanStack/router/issues/7383
涉及多个包和多个最近版本。注入脚本会扫描并窃取开发者电脑上的各类凭证,包括 AWS/GCP 密钥、Kubernetes token 、Vault token 、GitHub token 、SSH 密钥以及 ~/.npmrc 文件。
评论里有人提到撤销被盗 Token 还会导致病毒报复性删除用户目录:
撤销令牌时请务必小心。看起来该有效载荷在 ~/.local/bin/gh-token-monitor.sh 处安装了一个“死人开关”,并将其作为 systemd 用户服务 (Linux) / LaunchAgent com.user.gh-token-monitor (macOS) 运行。它每 60 秒使用被盗令牌轮询 api.github.com/user ,如果令牌被撤销 (HTTP 40x),它就会执行 rm -rf ~/。(看起来它可能还有一堆持久化机制。我还没仔细研究这些。)
看来是挺严重的。
Select Language