前言
2024年12月19日上午,知名移动端组件库“Vant”以及“rspack”遭遇投毒攻击,经过团队调查,发现其中一名成员的 token 被盗用,攻击者利用这个 token 获得了同个 GitHub 组织下的维护者@chenjiahan的 token,并发布了带有恶意代码的Rspack 1.1.7版本与Vant多个版本。
Rspack组件
Rspack 是一个兼容 webpack 的 JavaScript 打包工具,能够提供闪电般的构建速度和功能完备的功能。
issues地址:https://github.com/web-infra-dev/rspack/issues/8767
存在问题的版本号:1.1.7
vant组件
Vant 是一个轻量、可靠的移动端组件库,于 2017 年开源。 目前 Vant 官方提供了 Vue 2 版本 、 Vue 3 版本 和 微信小程序版本 ,并由社区团队维护 React 版本 和 支付宝小程序版本 。
issues地址:https://github.com/youzan/vant/discussions/13273
后续处理
1、核对项目中是否使用了Vant和rspack的受影响版本。
2、Vant团队迅速行动,发布了安全版本4.9.15、3.6.16、2.13.6,以替代受影响的版本,确保用户能够安全地使用该组件库。
3、rspack团队同样高效应对,在一小时内废弃了问题版本1.1.7,并发布了修复版本1.1.8。同时,参考相关讨论和处理过程(https://github.com/web-infra-dev/rspack/issues/8767),完成了问题排查与修复工作,保障了项目的安全性和稳定性。
结语
欢迎一键三连,点赞转发+关注。
原文始发于微信公众号(甲方叫我安服仔):知名开源项目Vant + rspack被投毒,速排查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论