koishi的库中有一个这样的插件
名叫miaoscript,他的作者是miao_woo,也就是喵呜。
如果做过mc国内服务器服主的人,应当对miaochat和喵系列插件有所了解,而他的开发者正是叫喵呜(中文)。
这位所开发的mc插件,在6月被曝存在恶意远程执行代码的问题。
举报插件MiaoChat包含后门 - 反馈和投诉 - Minecraft(我的世界)中文论坛 - (mcbbs.net)
并且,这位开发者已多次出现类似的问题,在插件内加载远程代码执行RCE,从而达到控制插件使用者的设备,是一种影响极为恶劣的行为。
目前mc’bbs已将此开发者封禁,他的实锤证据仍被留在帖内,其开发的各种插件相继被反向证明含有恶意代码。
在koishi市场中的这个插件,其npm界面没有开源,没有一点代码或者间接提供任何代码。
koishi-plugin-miaoscript - npm (npmjs.com)
这样一位开发者在开发界的信用已经跌至谷底,在该插件甚至不开源的情况下,我建议
将该插件列为不安全插件,直到开发者可以证明代码无害或其他形式的解释。
*由于其npm使用的头像和他曾经在其他平台上的头像一样,名字类似,开发所使用代码也类似,故怀疑两人为同一人
6 个赞
As for now (2023.07.26) the 0.0.1 version didn’t contain any executable code so that would be no harmful things.
But it is worth to note here that never run koishi as root or superuser, you’ll never know what is in the plugin.
目前(2023.07.26)0.0.1 版本不包含任何可执行代码,因此不会有任何有害的东西。
但这里值得注意的是,永远不要以 root 或超级用户身份运行 koishi,你永远不会知道插件中有什么。
4 个赞
CyanC
5
所以说 Koishi registry 更新一个 takedown 功能(
2 个赞
What do you mean takedown?
趴下是什么意思?
3 个赞
该开发者不是第一次被爆出这个问题了,当然,我是同意不应对其他人抱有恶意的说法的。
但他在mc圈内的事实就有必要被拿上台面了,我单纯希望有人知道这件事
3 个赞
Alirea
12
我用过miaochat,这个假期重新打算开服就在mcbbs搜到了
2 个赞
CyanC
13
邮箱可以看到就是本人了吧
admin@yumc.pw
应该需要验证所有权的
3 个赞
我只是占个位置而已 而且ms框架本身就是开源的 不明真相的 就不要乱吃瓜了 真的有后门 你觉得我还会只是封60天嘛
2 个赞
Can you tell us what woule be the function of the plugin mentioned above?
你可以告诉我们什么将会是函数在上面提到的插件里吗?
1 个赞
Alirea
18
ms框架是开源的,内容呢?
koishi作为框架也是开源的。但是谁能他保证运行在koishi上的插件是安全的?
–分割线–
作为开mc服的服主,miaochat使用了近三年的用户,我认为我相当失望的得知这件事。是不是“后门”没有人知道,只有你知道,而你拥有在一年内随意创造后门的可能,这代码是你写的,这点毋庸置疑。
并且,无论今后的各类插件如何优秀,任何人都有权利因你的过往而提出质疑,这是我在做的事。我对任何人没有利益关系,我只关心我自己的安全,这是我的主旨。
mcbbs对于你的最终处罚是
封禁 183 天,相关插件帖撤销精华,扣除发布插件所得积分,清空金粒积分,移除精华帖达人勋章、专业开发者勋章、开发人员勋章、下界疣勋章、面包勋章并扣除勋章附带积分 2 贡献,并依照插件版版规 3-2 对 MiaoChat 插件扣除 2 人气 1 贡献并进行晒尸警示。
并不是你所说的60天,并且这也不能成为你说没有后门的证据,只是没人能找到证据而已,当然可以说rce是很常见的反盗手段,只是这个手段在mcbbs不可用,要这么说也是可以被接受,但任何人都有权利因你的过往而提出质疑。请你在将来位置上有任何东西的时候,证明给大家看。
3 个赞
