聲明：該文章來(lái)自（快科技）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

據(jù)報(bào)道，前端開發(fā)社區(qū)近日遭遇嚴(yán)重供應(yīng)鏈安全事件，有贊開源組件庫(kù)Vant和字節(jié)跳動(dòng)開源的前端打包工具Rspack多個(gè)版本被植入惡意代碼。

12月19日，Vant項(xiàng)目維護(hù)者在GitHub上發(fā)布公告，稱因團(tuán)隊(duì)成員的npm token被盜用，攻擊者向Vant的多個(gè)版本中注入了惡意腳本代碼，并發(fā)布至npm倉(cāng)庫(kù)。

此次安全事件導(dǎo)致攻擊者進(jìn)一步獲取了同一GitHub組織下Rspack維護(hù)者的npm token，并發(fā)布了含有惡意代碼的Rspack 1.1.7版本。

不過(guò)Rspack團(tuán)隊(duì)在一小時(shí)內(nèi)便廢棄了受影響版本，并發(fā)布了1.1.8修復(fù)版本，目前，所有相關(guān)token已清理，兩個(gè)項(xiàng)目均已發(fā)布修復(fù)版本。

受影響的Vant版本包括4.9.11-4.9.14、3.6.13-3.6.15、2.13.3-2.13.5，安全版本為4.9.15、3.6.16、2.13.6。

Rspack受影響版本為@rspack/core: 1.1.7和@rspack/cli: 1.1.7，安全版本為1.1.8。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/