您现在的位置是:主页 > 科技圈快讯 > 最热 >
两款国产前端开源项目惊现恶意代码,速度更新版本!
发布时间:2024年12月20日 18:51:54 最热 人已围观
简介前端开发社区遭遇严重供应链安全事件,有赞 Vant 和字节跳动 Rspack 多个版本被植入恶意代码,Vant 项目维护者已发布安全公告。...
快科技 12 月 20 日消息,有报道称,前端开发社区最近遭遇了严重的供应链安全事件,有赞的开源组件库 Vant 和字节跳动的前端打包工具 Rspack 的多个版本被植入了恶意代码。
12 月 19 日,Vant 项目的维护者在 GitHub 上发布了一则公告,表示由于团队成员的 npm token 被盗用,攻击者向 Vant 的多个版本中注入了恶意脚本代码,并发布到了 npm 仓库。
这次安全事件使得攻击者进一步获取了同一 GitHub 组织下 Rspack 维护者的 npm token,并发布了含有恶意代码的 Rspack 1.1.7 版本。
不过,Rspack 团队在一小时内就废弃了受影响的版本,并发布了 1.1.8 修复版本。目前,所有相关的 token 已经清理完毕,两个项目都已经发布了修复版本。
受到影响的 Vant 版本包括 4.9.11-4.9.14、3.6.13-3.6.15、2.13.3-2.13.5,安全版本为 4.9.15、3.6.16、2.13.6。
Rspack 受影响的版本为@rspack/core: 1.1.7 和@rspack/cli: 1.1.7,安全版本为 1.1.8。
