新版本的速度升级！两个著名的国产前端开源项目植入恶意程序

快科技 12 月 20 据报道，前端开发社区最近遭遇了严重的供应链安全事件，有赞开源组件库。 Vant 前端包装工具和字节跳动开源 Rspack 恶意程序植入多个版本。

12 月 19 日，Vant 项目维修人员在场 GitHub 发布公告称，由于团队成员的原因 npm token 被盗，攻击者方向 Vant 恶意脚本代码注入多个版本，并发布至 npm 库房。

这次安全事故导致攻击者进一步得到了同样的结果。 GitHub 组织下 Rspack 维护者的 npm token，并且发布了包含恶意程序的程序 Rspack 1.1.7 版本。

不过 Rspack 在一个小时内，团队放弃了受影响的版本，并且发布了。 1.1.8 目前所有相关版本的修复， token 已经清理过了，两个项目都已经发布了修复版。

受影响的 Vant 版本包含 4.9.11-4.9.14、3.6.13-3.6.15、2.13.3-2.13.5，安全版 4.9.15、3.6.16、2.13.6。

Rspack 受影响的版本是 @rspack/core: 1.1.7 和 @rspack/cli: 1.1.7，安全版为 1.1.8。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com