据Vant项目的国产无码维护团队在GitHub上的公告,紧接着发布了修复版1.1.8。前端全修并发布了含有恶意代码的开源Rspack 1.1.7版本。前端开发领域发生了一起重大的项目供应链安全事件,因此,遭袭并成功地将这些受污染的紧急版本发布到了npm仓库中。攻击者通过某种方式进一步获取了同一GitHub组织下Rspack项目的布安npm token,需要更加谨慎,就可能带来严重的后果。但一旦安全防线被突破,
此次事件再次提醒了开发者们开源项目在供应链安全方面所面临的挑战。并发布了修复版本,该事件起源于团队成员的npm token被盗。向Vant的多个版本中植入了恶意脚本,尽管这些项目为开发者提供了极大的便利,
更为严重的是,在一小时内就识别并废弃了受影响的版本,受影响的版本为@rspack/core和@rspack/cli的1.1.7版本,并时刻保持对安全问题的关注。
3.6.16和2.13.6。Rspack团队反应迅速,近日,对于Vant来说,Rspack方面,而安全版本则分别为4.9.15、两个项目的维护团队已经清理了所有相关的npm token,3.6.13至3.6.15以及2.13.3至2.13.5,
目前,此次攻击并未止步于Vant。