V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
Cat7373
V2EX  ›  程序员

分享给代码 “下毒” 的 Evil.js

  •  
  •   Cat7373 ·
    Cat7373 · 2022-08-19 14:18:53 +08:00 · 5546 次点击
    这是一个创建于 856 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如名所示,Evil.js 是一个 “邪恶”、“有毒” 的库

    仓库地址: https://github.com/wheatup/evil.js

    作者地址: https://github.com/wheatup

    作者描述如下:

    因造成不良影响,原仓库已设为私有,但仍有些地方可以找到其代码,如:

    https://juejin.cn/post/7133134875426553886

    分享有趣的发现,切勿实践,被坑的只会是同样命苦的打工人

    第 1 条附言  ·  2022-08-19 16:00:22 +08:00
    我也整了一个🐶,欢迎路过的朋友们贡献更多好玩的想法

    https://github.com/Cat7373/evli.js
    22 条回复    2022-08-19 18:35:35 +08:00
    CodeCodeStudy
        1
    CodeCodeStudy  
       2022-08-19 14:27:29 +08:00
    害人害己
    dog
        2
    dog  
       2022-08-19 14:57:34 +08:00
    笑死,怎么想出来的这些设定
    murmur
        3
    murmur  
       2022-08-19 14:59:34 +08:00
    你这个概率再缩 10 倍可以上生产了,比如 Math.random 返回 0-1.01
    Cat7373
        4
    Cat7373  
    OP
       2022-08-19 15:06:21 +08:00
    @murmur 讲道理,可以更隐蔽一些,例如不那么随机,90% 的概率在 0.0-0.1 ,10% 的概率在 0.1-1.0
    dcsuibian
        5
    dcsuibian  
       2022-08-19 15:13:21 +08:00
    刑啊,这日子越来越有判头了
    JeffGe
        6
    JeffGe  
       2022-08-19 15:16:28 +08:00 via Android
    太刑了
    HugoChao
        7
    HugoChao  
       2022-08-19 15:28:21 +08:00
    npm 和 github 还是有责任心啊 这么快就下了
    wbrobot
        8
    wbrobot  
       2022-08-19 15:29:19 +08:00
    怎么没有开关? 离职最后一天还提代码肯定很容易查出来啊...
    学学黑客做个 C2 服务,走之后开启...
    abc0123xyz
        9
    abc0123xyz  
       2022-08-19 15:30:46 +08:00
    最好不要稳定触发,稳定触发就知道是 bug 了,2%~3%之间的概率比较合适
    nyxsonsleep
        10
    nyxsonsleep  
       2022-08-19 15:30:58 +08:00
    @wbrobot 代码提交怎么都有历史,排查出来一样刑。
    wbrobot
        11
    wbrobot  
       2022-08-19 15:39:05 +08:00
    @nyxsonsleep 问题是没有开关, 日常不就周日乱套...
    gouflv
        12
    gouflv  
       2022-08-19 15:39:58 +08:00 via iPhone
    @HugoChao 是作者自己私有了
    ersic
        13
    ersic  
       2022-08-19 16:02:35 +08:00
    害人害己。
    fkdog
        14
    fkdog  
       2022-08-19 16:04:34 +08:00
    到头来不就是在为难打工人吗?何苦。
    40EaE5uJO3Xt1VVa
        15
    40EaE5uJO3Xt1VVa  
       2022-08-19 16:12:36 +08:00
    之前还有一个灭霸脚本,随机删除一般文件。大家都知道这是娱乐的,分享出来的奇思妙想。
    doco
        16
    doco  
       2022-08-19 16:33:53 +08:00   ❤️ 1
    @yanzhiling2001 #15 大家都知道是娱乐的, 架不住有人上纲上线
    hahastudio
        17
    hahastudio  
       2022-08-19 16:49:48 +08:00
    @gouflv
    npm 上面说是 This package contained malicious code and was removed from the registry by the npm security team. 不知道自己撤掉是不是也是同样的提示。
    https://www.npmjs.com/package/lodash-utils
    Trim21
        18
    Trim21  
       2022-08-19 16:53:47 +08:00
    看到之后搜作者的仓库本来是想看看有没有其他缺德点子乐一乐,没想到作者还真的发了个 npm 包,起的名还这么人畜无害... 应该发个包叫 do-not-use-this-or-you-will-be-fired 之类的
    676529483
        19
    676529483  
       2022-08-19 16:58:34 +08:00
    还是推荐留个访问数据库的入口,走了以后开代理登上去,投点毒。人还在就没必要了
    xiao109
        20
    xiao109  
       2022-08-19 17:25:29 +08:00
    @doco 灭霸脚本可不会在 readme 里让你在离职之前提交到公司的项目里
    Zoro76
        21
    Zoro76  
       2022-08-19 18:26:29 +08:00
    @hahastudio 跟作者在一个群里,npm 的包是被官方 ban 掉了。本来发出是整活儿图一乐的,后来 wx 群大范围传播,作者怕影响扩大就把 github 仓库私有了。
    Building
        22
    Building  
       2022-08-19 18:35:35 +08:00 via iPhone
    用得着这么麻烦吗?正常发挥即可
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4359 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 04:08 · PVG 12:08 · LAX 20:08 · JFK 23:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.