近日,前端開發(fā)領(lǐng)域發(fā)生了一起重大的供應鏈安全事件,波及到了兩個知名開源項目:有贊的Vant組件庫和字節(jié)跳動推出的Rspack前端打包工具。
據(jù)Vant項目的維護團隊在GitHub上的公告,該事件起源于團隊成員的npm token被盜。攻擊者利用這一權(quán)限,向Vant的多個版本中植入了惡意腳本,并成功地將這些受污染的版本發(fā)布到了npm倉庫中。這一行為嚴重危害了使用這些版本的開發(fā)者的安全。
更為嚴重的是,此次攻擊并未止步于Vant。攻擊者通過某種方式進一步獲取了同一GitHub組織下Rspack項目的npm token,并發(fā)布了含有惡意代碼的Rspack 1.1.7版本。不過,Rspack團隊反應迅速,在一小時內(nèi)就識別并廢棄了受影響的版本,緊接著發(fā)布了修復版1.1.8。
目前,兩個項目的維護團隊已經(jīng)清理了所有相關(guān)的npm token,并發(fā)布了修復版本,以確保開發(fā)者能夠安全地使用這些工具。對于Vant來說,受影響的版本包括4.9.11至4.9.14、3.6.13至3.6.15以及2.13.3至2.13.5,而安全版本則分別為4.9.15、3.6.16和2.13.6。Rspack方面,受影響的版本為@rspack/core和@rspack/cli的1.1.7版本,安全版本為1.1.8。
此次事件再次提醒了開發(fā)者們開源項目在供應鏈安全方面所面臨的挑戰(zhàn)。盡管這些項目為開發(fā)者提供了極大的便利,但一旦安全防線被突破,就可能帶來嚴重的后果。因此,開發(fā)者們在使用開源項目時,需要更加謹慎,并時刻保持對安全問題的關(guān)注。
