两款知名国产前端开源项目被“投毒”

文章预览

OSCHINA ↑点击蓝字 关注我们 前端社区爆发了一起严重的供应链投毒事件——有赞开源组件库 Vant 和字节开源前端打包工具 Rspack 的多个版本被植入了恶意代码。 12 月 19 日， Vant 维护者在 GitHub 发布公告称， 因团队成员的 npm token 被盗用，盗号者向多个版本注入了恶意脚本代码，并发布至 npm 仓库 。 受此次攻击影响，盗号者进一步拿到了同个 GitHub 组织下另一名 Rspack 维护者的 npm token，并发布了带有相同恶意代码的   Rspack 1.1.7  版本。 Rspack 团队知释后在一小时内完成该版本的废弃处理，并发布了 1.1.8 修复版本。 目前相关 token 已经全部清理。 两个开源项目均已发布了修复版本： https://github.com/youzan/vant/releases/tag/v4.9.15 https://github.com/web-infra-dev/rspack/releases/tag/v1.1.8 Vant 受影响版本： 4.9.11 - 4.9.14 3.6.13 - 3.6.15 2.13.3 - 2.13.5 安全版本： 4.9.15 3.6.16 2.13.6 Rspac ………………………………