start /B node compile.js & node compile.js

昨日在项目发版时遇到打包失败的问题,具体错误为执行start /B node compile.js & node compile.js报错,可见github,这是由于的npm 库“coa” 被劫持,其中注入了恶意代码,影响了世界各地依赖于“coa”的包,此包最后一个正常版本为“2.0.2”,高于这个版本的都是恶意包,Windows系统可能会有感染木马的风险,最好杀毒检查一下,其他系统由于start命令是Windows的,故会报上面的打包失败的错误。

处理方式:
1. 项目是npm构建拉取node包的话,在package.json的dependencies中添加”coa”: “2.0.2”,本地锁coa版本
2. 项目是pnpm构建拉取node包的话,package.json添加

"pnpm": {
    "overrides": {
      "coa": "2.0.2"
    }
}
  1. 项目是yarn构建拉取node包的话,package.json添加
"resolutions": {
    "coa": "2.0.2"
}

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注