【开源之耻】vue-admin-beautiful npm 包投毒事件始末
新的前端 npm 包投毒事件 - V2EX[1]
2023年1月5日,著名开源项目 AFFiNE[2] 发推提醒大家,有一个名为 chalk-next
(chalk 的复制品,赝品) 的包文件中含递归删除本地配置代码。随后,该包被 npm 安全团队证实含恶意代码并下架。
chalk 是一个可以修改终端输出字符样式的 npm 包。
而 chalk-next
的作者建了许多诸如"chalk-next"的库,用来检测授权的,该作者在自己的收费项目里引用这个包,引用后会上报密钥信息,如果是没花钱就使用的话,会被这个包检测出来然后报复性删除文件。简单来说就是个报复性的后门。
由于起名太过敏感,"-next"一般用于大版本更新,于是有好心人出于更新包的目的在其他开源项目中提 PR 更新包,也就出现了这次的“投毒”事件。
深挖下去,发现 chalk-next
的作者正是臭名昭著的 vue-admin-beautiful 的作者,而 vue-admin-beautiful 是一个打着开源旗号的收费项目。
chalk-next
再一次引发众怒,引起了社区的广泛关注和讨论。以下为事件过程整理。
1. AFFiNE 发推提醒
2023年1月5日,AFFiNE 联合创始人 @ewind1994 (也是后文提到的雪碧)发推提醒:
2023年1月6日,该包被 npm 安全团队证实含恶意代码并下架。
2. 始作俑者 vue-admin-beautiful
chalk-next
NPM 地址为:https://www.npmjs.com/package/chalk-next,其NPM 帐号:https://www.npmjs.com/~vabjs。
网友顺藤摸瓜,发现其作者是为 chu1204505056
,正是 vue-admin-beautiful 前端项目的作者。
而 vue-admin-beautiful
在 V2ex 上引起了广泛的讨论,被定性为打着开源旗号的割韭菜项目。
3. vue-admin-beautiful 营销套路
超火爆的 vue 前端 admin 框架推荐 - V2EX[2]
2020年9月26日,vue-admin-beautiful
的作者 @chu1204505056 在 V2ex 发贴宣传。
V友并不买账,提出了 star
增长太快的疑问,issue
也很少。
看大家不买账,紧接着 @chu1204505056 又发了一篇文章,👷👷👷一个开源项目走向商业化的一些感悟 - V2EX[3]
V友善意的提醒,居然被 @chu1204505056 认为是键盘侠,还在利用开源项目的名义营销。v2er 也不惯着,直接怼。
同样的营销套路,也被 @chu1204505056 在 知乎 上使用。多个匿名账号抨击说实话的网友。
如何评价 vue-admin-beautiful 项目?- 知乎[4]
4. V友实名抵制 vue-admin-beautiful
实名抵制 vue-admin-beautiful - V2EX[5]
有一位 V友 试用了 vue-admin-beautiful,发现其实是一个恶心的收费项目,于是在 V2ex 上发起实名抵制。
5. vue-admin-beautiful 营销式道歉
vue-admin-beautiful 开发者的致歉信 - V2EX[6]
6. 否认投毒,倒打一耙
@chu1204505056
还在 AFFiNE 项目上提Issue,否认投毒,倒打一耙。
https://github.com/toeverything/AFFiNE/issues/676
7. vue-admin-beautiful 作者精神分裂
czx is dog (@chu1204505056) / Twitter[7]
vue-admin-beautiful 的作者迷之操作也让人感觉精神分裂。
一会骂 雪碧(前文提到的 @ewind1994 ),一会又自称是开发者,掉头抨击vab。
关于此事,你怎么看?
往期推荐
欢迎关注我的公众号“码农真经”,原创技术文章第一时间推送。
引用链接
[1]
新的前端 npm 包投毒事件 - V2EX: https://v2ex.com/t/906834?p=2[2]
AFFiNE: https://github.com/toeverything/AFFiNE[3]
超火爆的 vue 前端 admin 框架推荐 - V2EX: https://www.v2ex.com/t/710744[4]
👷👷👷一个开源项目走向商业化的一些感悟 - V2EX: https://www.v2ex.com/t/711701?p=2[5]
如何评价 vue-admin-beautiful 项目?- 知乎: https://www.zhihu.com/question/423592827[6]
实名抵制 vue-admin-beautiful - V2EX: https://www.v2ex.com/t/793276?p=1[7]
vue-admin-beautiful 开发者的致歉信 - V2EX: https://www.v2ex.com/t/797159[8]
czx is dog (@chu1204505056) / Twitter: https://twitter.com/chu1204505056