Vite 7.1.1 疑似遭受大规模 "攻击"!

Vite 7.1.1 疑似被大规模攻击! 其 tarball30 分钟内被拉取 120 万次 ,峰值 QPS 是日常 50 倍

诡异的是,所有请求只抓取主包,对 esbuildrolluppostcss 等依赖 零访问

真凶?疑似镜像/扫描器死循环

不到一小时,尤雨溪@youyuxi)发推:

有人在用自动化系统疯狂请求 Vite 7.1.1 补丁------它只下载 Vite 的压缩包,却不拉任何依赖,很可能是因为镜像站或安全扫描器陷入了死循环

措辞中的 "likely" 表明目前仍属疑似------不排除镜像站或安全扫描器因同步逻辑缺陷陷入循环,但尚未最终定论。

时间线核对

根据 npmGitHub 记录,Vite 7.1.1 发布 ,距今仅 5 天 。此次洪峰并非传统意义上的"发布即洪峰",而是 新版本上线 5 天后被集中拉取

日志佐证

  • UA 单一90 % 请求头为 MirrorBot/2.3.1 (SecurityScanner; +https://mirror.example.com/bot)
  • IP 分散:数千云主机 IP,每个仅贡献几十次请求------典型分布式任务队列
  • 无依赖记录 :后续对任何子依赖的 GET 请求几乎为零

历史重演

时间 目标包 峰值 根因
2024-11-03 vue@3.5.0 90 万/小时 镜像漏同步依赖
2024-12-15 svelte@4.2.8 110 万/小时 扫描器死循环

尤雨溪在推文中直接点名"过去 Vue / Svelte 也这样",可见 老毛病疑似再犯

自查清单

运维镜像扫描器CI 缓存的同学,请立即排查:

  • 同步脚本
bash 复制代码
  npm view vite@7.1.1 dependencies --json

确认是否完整拉取所有依赖。

  • 重试策略
    是否对 404/ETag 变化无退避重试?加指数退避或熔断。
  • User-Agent 过滤
    日志里出现 MirrorBotSecurityScanner 等字样,八成就是你在"贡献"流量。

官方与社区回应

  • npm 官方CDN 已回落,无服务中断。
  • Vite 团队:感谢尤雨溪及时提醒,呼吁各镜像站修复同步逻辑。
  • 社区梗图:网友把下载曲线 P 成心电图,"Vite 的心跳有点快"。

写在最后

"发布 5 天后被锤"同样值得警惕------脚本往往在镜像同步或扫描周期后才集中爆发。

下次告警响起,请先翻 UA 和重试策略,再决定是拉闸还是喊"狼来了"。

毕竟,尤雨溪已经替大家总结:
"If that was you, your system is likely broken again :)"

相关推荐
IT_陈寒11 小时前
Python装饰器竟然偷偷改了函数名?这个坑我爬了三天
前端·人工智能·后端
Momo__12 小时前
Vite 8.1 打包开发模式——10000 组件冷启动 15 倍,"No Bundle Dev" 七年后被自己终结
前端·vue.js·vite
YHL12 小时前
🤖 Agent 智能体开发实战 · 第一课:Tool Use —— 让大模型自动干活
前端·javascript·人工智能
Monki12 小时前
AI 规范式 UI 设计,一键批量出页,高效落地不翻车
前端
山河木马12 小时前
渲染管线-计算得到gl_FragColor(片元着色器)之后续GPU流程
前端·webgl·计算机图形学
不想说话的麋鹿12 小时前
「项目实战」我用 Codex + GPT-5.5 + Trellis "氛围编程",独立做了一个情侣厨房小程序
前端·agent·全栈
接着奏乐接着舞。13 小时前
【2026年7月最新】69道RAG面试题
前端·人工智能·后端·aigc·embedding·rag
以和为贵13 小时前
前端也能搞懂 Agent:从 Function Calling 到自主编排
前端·人工智能·架构
HUMHSX13 小时前
Vue 组件通信核心知识点梳理
javascript·vue.js·ecmascript
风止何安啊14 小时前
🚦 前端并发请求 “交通管制”:别让你的接口堵成早高峰
前端·javascript·面试