主要观点总结
本文报道了前端社区发生的供应链投毒事件,涉及知名开源组件库Vant和构建工具Rspack。攻击者通过恶意代码注入,在受影响的版本中执行挖矿程序,并窃取用户云服务凭据。事件已引起开发团队的注意,并提供了应对措施和建议。
关键观点总结
关键观点1: 供应链投毒事件概述
前端社区发生供应链投毒事件,涉及Vant和Rspack。攻击者恶意代码注入,执行挖矿程序,窃取用户云服务凭据。
关键观点2: 事件起因
Vant维护者的Token被恶意窃取,攻击者利用此机会注入恶意代码。
关键观点3: 攻击细节
攻击者在package.json中添加"postinstall"命令,安装时执行恶意脚本。在受影响的版本中下载并运行名为"vant_helper"的挖矿程序,并窃取用户云服务凭据。
关键观点4: 受影响范围
Vant的4.9.11 - 4.9.14、3.6.13 - 3.6.15、2.13.3 - 2.13.5版本受影响;Rspack的@rspack/core和@rspack/cli的1.1.7版本受影响。
关键观点5: 应对措施和建议
尽快升级Vant和Rspack到安全版本,停止使用受影响的版本。加强供应链安全意识,注意前端供应链安全的问题。
文章预览
大家好,我是 ConardLi 。 今天,前端社区又爆发了一起严重的供应链投毒事件。知名开源组件库 Vant 和构建工具 Rspack 遭遇恶意代码注入。 事件的开端源于 Vant 的维护者 landluck (应该是被攻击者恶意窃取了 Token)将带有恶意脚本的版本发布到了 npm 仓库。攻击者在 package.json 中添加了 "postinstall": "node lib/utils/support.js" ,该命令在安装时会执行恶意脚本。 社区用户在使用过程中发现异常,并在 GitHub 上报告了这一问题,迅速引起了开发团队的注意。 随后 Vant 维护者标记了受攻击的版本: 紧接着,攻击蔓延到 Rspack 。推测攻击者利用 landluck 的 npm 和 GitHub 令牌,获取了在同一 GitHub 组织下的 Rspack 维护者的 npm 令牌。 随即,攻击者发布了含有相似攻击机制的 @rspack/core 和 @rspack/cli 的 1.1.7 版本,Rspack 用户反馈了该问题: 受影响范围 Vant 受影响
………………………………