网络第5域

两款知名国产前端开源项目被植入恶意代码

字号+作者:快科技 来源:快科技 2024-12-20 19:45 评论(创建话题) 收藏成功收藏本文

前端开发社区近日遭遇严重供应链安全事件,有赞开源组件库Vant和字节跳动开源的前端打包工具Rspack多个版本被植入恶意代码。12月19日,Vant项目维护者在Gi'...

前端开发社区近日遭遇严重供应链安全事件,有赞开源组件库Vant和字节跳动开源的前端打包工具Rspack多个版本被植入恶意代码。12月19日,Vant项目维护者在GitHub上发布公告,称因团队成员的npmtoken被盗用,攻击者向Vant的多个版本中注入了恶意脚本代码,并发布至npm仓库。hSk品论天涯网

此次安全事件导致攻击者进一步获取了同一GitHub组织下Rspack维护者的npmtoken,并发布了含有恶意代码的Rspack1.1.7版本。hSk品论天涯网

不过Rspack团队在一小时内便废弃了受影响版本,并发布了1.1.8修复版本,目前,所有相关token已清理,两个项目均已发布修复版本。hSk品论天涯网

受影响的Vant版本包括4.9.11-4.9.14、3.6.13-3.6.15、2.13.3-2.13.5,安全版本为4.9.15、3.6.16、2.13.6。hSk品论天涯网

Rspack受影响版本为@rspack/core:1.1.7和@rspack/cli:1.1.7,安全版本为1.1.8。hSk品论天涯网

hSk品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]