【开源之耻】vue-admin-beautiful npm 包投毒事件始末

新的前端 npm 包投毒事件 - V2EX^[1]

2023年1月5日，著名开源项目 AFFiNE^[2] 发推提醒大家，有一个名为 chalk-next (chalk 的复制品，赝品) 的包文件中含递归删除本地配置代码。随后，该包被 npm 安全团队证实含恶意代码并下架。

chalk 是一个可以修改终端输出字符样式的 npm 包。

而 chalk-next 的作者建了许多诸如"chalk-next"的库，用来检测授权的，该作者在自己的收费项目里引用这个包，引用后会上报密钥信息，如果是没花钱就使用的话，会被这个包检测出来然后报复性删除文件。简单来说就是个报复性的后门。

由于起名太过敏感，"-next"一般用于大版本更新，于是有好心人出于更新包的目的在其他开源项目中提 PR 更新包，也就出现了这次的“投毒”事件。

深挖下去，发现 chalk-next 的作者正是臭名昭著的 vue-admin-beautiful 的作者，而 vue-admin-beautiful 是一个打着开源旗号的收费项目。

chalk-next 再一次引发众怒，引起了社区的广泛关注和讨论。以下为事件过程整理。

1. AFFiNE 发推提醒

2023年1月5日，AFFiNE 联合创始人 @ewind1994 (也是后文提到的雪碧)发推提醒：

2023年1月6日，该包被 npm 安全团队证实含恶意代码并下架。

2. 始作俑者 vue-admin-beautiful

chalk-next NPM 地址为：https://www.npmjs.com/package/chalk-next，其NPM 帐号：https://www.npmjs.com/~vabjs。

网友顺藤摸瓜，发现其作者是为 chu1204505056，正是 vue-admin-beautiful 前端项目的作者。

而 vue-admin-beautiful 在 V2ex 上引起了广泛的讨论，被定性为打着开源旗号的割韭菜项目。

3. vue-admin-beautiful 营销套路

超火爆的 vue 前端 admin 框架推荐 - V2EX^[2]

2020年9月26日，vue-admin-beautiful 的作者 @chu1204505056 在 V2ex 发贴宣传。

V友并不买账，提出了 star 增长太快的疑问，issue也很少。

看大家不买账，紧接着 @chu1204505056 又发了一篇文章，👷👷👷一个开源项目走向商业化的一些感悟 - V2EX^[3]

V友善意的提醒，居然被 @chu1204505056 认为是键盘侠，还在利用开源项目的名义营销。v2er 也不惯着，直接怼。

同样的营销套路，也被 @chu1204505056 在 知乎 上使用。多个匿名账号抨击说实话的网友。

如何评价 vue-admin-beautiful 项目？- 知乎^[4]

4. V友实名抵制 vue-admin-beautiful

实名抵制 vue-admin-beautiful - V2EX^[5]

有一位 V友 试用了 vue-admin-beautiful，发现其实是一个恶心的收费项目，于是在 V2ex 上发起实名抵制。

5. vue-admin-beautiful 营销式道歉

vue-admin-beautiful 开发者的致歉信 - V2EX^[6]

6. 否认投毒，倒打一耙

@chu1204505056 还在 AFFiNE 项目上提Issue，否认投毒，倒打一耙。

https://github.com/toeverything/AFFiNE/issues/676

7. vue-admin-beautiful 作者精神分裂

czx is dog (@chu1204505056) / Twitter^[7]

vue-admin-beautiful 的作者迷之操作也让人感觉精神分裂。

一会骂 雪碧（前文提到的 @ewind1994 )，一会又自称是开发者，掉头抨击vab。

关于此事，你怎么看？

往期推荐

• • 2022年我读了80本书，最喜欢的是这10本

• • 网站违规被限制解封始末

• • 【每周书单】所有工具都是锤子、Python数据分析师修炼之道、了不起的JavaScript工程师、Linux C编程完全解密等

• • Pinterest Masonry 瀑布流布局方案详解

• • NextJS 项目部署：Node Server + PM2 + Nginx + Linux

欢迎关注我的公众号“码农真经”，原创技术文章第一时间推送。

引用链接

[1] 新的前端 npm 包投毒事件 - V2EX: https://v2ex.com/t/906834?p=2
[2] AFFiNE: https://github.com/toeverything/AFFiNE
[3] 超火爆的 vue 前端 admin 框架推荐 - V2EX: https://www.v2ex.com/t/710744
[4] 👷👷👷一个开源项目走向商业化的一些感悟 - V2EX: https://www.v2ex.com/t/711701?p=2
[5] 如何评价 vue-admin-beautiful 项目？- 知乎: https://www.zhihu.com/question/423592827
[6] 实名抵制 vue-admin-beautiful - V2EX: https://www.v2ex.com/t/793276?p=1
[7] vue-admin-beautiful 开发者的致歉信 - V2EX: https://www.v2ex.com/t/797159
[8] czx is dog (@chu1204505056) / Twitter: https://twitter.com/chu1204505056