国产前端开源项目惊现恶意代码，速度升级新版本！

抓住恶意代码，守护前端安全！

科技快讯中文网

　　 12月20日消息，据报道，前端开发社区近期遭受了一次严重的供应链安全事件。有赞的开源组件库Vant和字节跳动的开源前端打包工具Rspack的多个版本被植入了恶意代码。12月19日，Vant项目的维护者在GitHub上发布通告，指出由于团队成员的npmtoken被盗，攻击者向Vant的若干版本中插入了恶意脚本，并将其发布到了npm仓库。此次安全事件还导致攻击者获得了同一GitHub组织下Rspack维护者的npmtoken，并发布了包含恶意代码的Rspack 1.1.7版本。

　　 尽管Rspack团队在一个小时内就弃用了受影响的版本，并发布了1.1.8修复版本。目前，所有相关的token已被清理，两个项目均已发布修复版本。受到影响的Vant版本包括4.9.11至4.9.14、3.6.13至3.6.15、2.13.3至2.13.5，安全版本为4.9.15、3.6.16、2.13.6。Rspack受影响的版本为@rspack/core:1.1.7和@rspack/cli:1.1.7，安全版本为1.1.8。请尽快更新到新版本！两款知名国产前端开源项目中被植入了恶意代码。【本文结束】