近日,前端開發領域發生了一起重大的供應鏈安全事件,波及到了兩個知名開源項目:有贊的Vant組件庫和字節跳動推出的Rspack前端打包工具。
據Vant項目的維護團隊在GitHub上的公告,該事件起源于團隊成員的npm token被盜。攻擊者利用這一權限,向Vant的多個版本中植入了惡意腳本,并成功地將這些受污染的版本發布到了npm倉庫中。這一行為嚴重危害了使用這些版本的開發者的安全。
更為嚴重的是,此次攻擊并未止步于Vant。攻擊者通過某種方式進一步獲取了同一GitHub組織下Rspack項目的npm token,并發布了含有惡意代碼的Rspack 1.1.7版本。不過,Rspack團隊反應迅速,在一小時內就識別并廢棄了受影響的版本,緊接著發布了修復版1.1.8。
目前,兩個項目的維護團隊已經清理了所有相關的npm token,并發布了修復版本,以確保開發者能夠安全地使用這些工具。對于Vant來說,受影響的版本包括4.9.11至4.9.14、3.6.13至3.6.15以及2.13.3至2.13.5,而安全版本則分別為4.9.15、3.6.16和2.13.6。Rspack方面,受影響的版本為@rspack/core和@rspack/cli的1.1.7版本,安全版本為1.1.8。
此次事件再次提醒了開發者們開源項目在供應鏈安全方面所面臨的挑戰。盡管這些項目為開發者提供了極大的便利,但一旦安全防線被突破,就可能帶來嚴重的后果。因此,開發者們在使用開源項目時,需要更加謹慎,并時刻保持對安全問題的關注。
