大家好,欢迎来到 程序视点!我是小二哥。紧急消息据悉,前端开发领域的两个知名开源项目,有赞的 Vant 组件库和 字节跳动的 Rspack 前端打包工具 ,遭遇了供应链安全事件。
为了避免黑客使用存在安全漏洞的版本,进行恶意攻击和破坏,请大家根据以下内容,尽快自查,更换项目存在安全漏洞的版本。
Vant和Rspack被投毒
有赞开源组件库 Vant 维护者于 12 月 19 日在 GitHub 发布公告,表示由于其中一位团队成员的 npm token 被盗用,并注入了恶意脚本代码。随后,攻击者又获取了 Rspack 项目的 npm token,发布了含有恶意代码的 1.1.7 版本。目前,两个项目的维护团队已清理相关 npm token,紧急废弃了多个受影响版本,发布了最新安全版本。Vant官方团队目前紧急废弃了以下异常版本,请勿使用:4.9.144.9.134.9.124.9.113.6.153.6.143.6.132.13.52.13.42.13.3如有使用上述异常版本的小伙伴,请使用官方团队发布的**最新安全版本**,npm latest tag 已经指向新版本:4.9.153.6.162.13.6同时,Rspack 团队迅速响应,废弃了该风险版本并发布了修复版 1.1.8。
@rspack/core 和 @rspack/cli 1.1.7 版本存在安全风险。请使用 1.1.8或 v1.1.6 版本。
最后
此事件凸显了开源项目在供应链安全方面的挑战,提醒开发者使用开源项目时需谨慎,并关注安全问题。
再次提醒:为了避免黑客使用存在安全漏洞的版本,进行恶意攻击和破坏,请大家尽快自查,更换项目存在安全漏洞的版本。
请转发此文章或者告知其他人开发人员,尽快更换版本。