Closed mendickmorningstar closed 3 months ago
找到一个类似的反馈:https://ask.dcloud.net.cn/question/148550
从反馈中得知,其他开发者定位到文件:__uniappquillimageresize.js
这个文件是来自此开源项目:quill-image-resize-module,这个项目 fork 自 kensnyder/quill-image-resize-module。目前分析并未发现恶意代码,但比较此仓库年代久远可能会存在一些安全隐患,还需更详细的线索才能进一步定位。
@zhetengbiji 麻烦看看这个问题 https://github.com/dcloudio/uni-app/issues/4386
问题描述 [问题描述:尽可能简洁清晰地把问题描述清楚] 我们使用VirusTotal进行扫描的时候,发现存在Malware,请尽快修复,并确认是不是供应链攻击。 https://www.virustotal.com/gui/file/a1741dcbdc7dcbfefc0f9f298c4f5baf5a305695aacff933fe28e75b516bcc55/detection
复现步骤 [复现问题的步骤]
[或者可以直接贴源代码]
预期结果 没有任何恶意代码。
实际结果 有恶意代码 https://www.virustotal.com/gui/file/a1741dcbdc7dcbfefc0f9f298c4f5baf5a305695aacff933fe28e75b516bcc55/detection ClamAV Txt.Malware.Agent-9913425-0
补充信息 [可选] 可能存在供应链攻击。