【安全漏洞】Vue UI库Vant组件遭恶意投毒,字节RspacK也中招!请紧急修复!

大家好,欢迎来到 程序视点!我是小二哥。紧急消息据悉,前端开发领域的两个知名开源项目,有赞的 Vant 组件库 字节跳动的 Rspack 前端打包工具 ,遭遇了供应链安全事件。为了避免黑客使用存在安全漏洞的版本,进行恶意攻击和破坏,请大家根据以下内容,尽快自查,更换项目存在安全漏洞的版本。

Vant和Rspack被投毒

有赞开源组件库 Vant 维护者于 12 月 19 日在 GitHub 发布公告,表示由于其中一位团队成员的 npm token 被盗用,并注入了恶意脚本代码。随后,攻击者又获取了 Rspack 项目的 npm token,发布了含有恶意代码的 1.1.7 版本。目前,两个项目的维护团队已清理相关 npm token,紧急废弃了多个受影响版本,发布了最新安全版本。Vant官方团队目前紧急废弃了以下异常版本,请勿使用:4.9.144.9.134.9.124.9.113.6.153.6.143.6.132.13.52.13.42.13.3如有使用上述异常版本的小伙伴,请使用官方团队发布的**最新安全版本**,npm latest tag 已经指向新版本:4.9.153.6.162.13.6同时,Rspack 团队迅速响应,废弃了该风险版本并发布了修复版 1.1.8。

@rspack/core 和 @rspack/cli 1.1.7 版本存在安全风险。请使用 1.1.8或 v1.1.6 版本。

最后

此事件凸显了开源项目在供应链安全方面的挑战,提醒开发者使用开源项目时需谨慎,并关注安全问题。

再次提醒:为了避免黑客使用存在安全漏洞的版本,进行恶意攻击和破坏,请大家尽快自查,更换项目存在安全漏洞的版本。

请转发此文章或者告知其他人开发人员,尽快更换版本。

相关推荐
IT_陈寒18 分钟前
SpringBoot性能翻倍秘籍:5个90%开发者不知道的JVM调优实战技巧
前端·人工智能·后端
前端灵派派1 小时前
openlayer源码转cesium
前端
Jacob02341 小时前
JavaScript 的进化之旅 Part 2:现代特性与算法优化实战
前端·javascript·性能优化
qb1 小时前
vue3.5.18源码:深入watch api底层实现
前端·vue.js·架构
OEC小胖胖1 小时前
掌握表单:React中的受控组件与表单处理
前端·javascript·react.js·前端框架·react·web
coding随想1 小时前
手机旋转也能触发代码?揭秘前端DeviceOrientation事件的神奇力量!
前端
Mintopia1 小时前
AIGC 训练数据的清洗与标注:技术痛点与自动化方案
前端·javascript·aigc
zzywxc7871 小时前
如何通过 AI IDE 集成开发工具快速生成简易留言板系统
javascript·ide·vue.js·人工智能·spring cloud·架构·dubbo
小喷友1 小时前
第9章 鸿蒙微内核与系统架构
前端·app·harmonyos
Hilaku2 小时前
我最近面试前端,发现一个很有意思的现象..
前端·javascript·面试