1. 首頁 > 生活百科 > >

速度升級新版本!兩款知名國產前端開源項目被植入惡意代碼

github前端開發

速度升級新版本!兩款知名國產前端開源項目被植入惡意代碼

【速度升級新版本!兩款知名國產前端開源項目被植入惡意代碼】快科技12月20日消息 , 據報道 , 前端開發社區近日遭遇嚴重供應鏈安全事件 , 有贊開源組件庫Vant和字節跳動開源的前端打包工具Rspack多個版本被植入惡意代碼 。
12月19日 , Vant項目維護者在GitHub上發布公告 , 稱因團隊成員的npm token被盜用 , 攻擊者向Vant的多個版本中注入了惡意腳本代碼 , 并發布至npm倉庫 。
此次安全事件導致攻擊者進一步獲取了同一GitHub組織下Rspack維護者的npm token , 并發布了含有惡意代碼的Rspack 1.1.7版本 。
不過Rspack團隊在一小時內便廢棄了受影響版本 , 并發布了1.1.8修復版本 , 目前 , 所有相關token已清理 , 兩個項目均已發布修復版本 。
受影響的Vant版本包括4.9.11-4.9.14、3.6.13-3.6.15、2.13.3-2.13.5 , 安全版本為4.9.15、3.6.16、2.13.6 。
Rspack受影響版本為@rspack/core: 1.1.7和@rspack/cli: 1.1.7 , 安全版本為1.1.8 。

    推薦閱讀