近日，前端開發(fā)領(lǐng)域發(fā)生了一起重大供應(yīng)鏈安全事件，引起了廣泛關(guān)注。有贊公司的開源組件庫Vant以及字節(jié)跳動(dòng)旗下的前端打包工具Rspack不幸成為攻擊目標(biāo)，多個(gè)版本被植入惡意代碼。

據(jù)了解，Vant項(xiàng)目團(tuán)隊(duì)在12月19日通過GitHub平臺(tái)發(fā)布了一則緊急公告。公告中透露，由于團(tuán)隊(duì)成員的npm token（一種用于npm包管理系統(tǒng)的認(rèn)證令牌）被盜用，攻擊者得以向Vant的多個(gè)版本中注入了惡意腳本代碼，并將這些被篡改的版本上傳到了npm倉庫中。

這一安全漏洞不僅影響了Vant本身，還波及到了同屬一個(gè)GitHub組織的Rspack項(xiàng)目。攻擊者利用從Vant項(xiàng)目中獲取的npm token，進(jìn)一步入侵了Rspack的維護(hù)系統(tǒng)，并發(fā)布了含有惡意代碼的Rspack 1.1.7版本。

好在Rspack團(tuán)隊(duì)反應(yīng)迅速，他們?cè)诎l(fā)現(xiàn)問題的第一時(shí)間就廢棄了受影響的1.1.7版本，并緊接著發(fā)布了1.1.8修復(fù)版本。與此同時(shí)，所有相關(guān)的npm token也已被徹底清理，以確保安全漏洞不會(huì)再次被利用。目前，Vant和Rspack兩個(gè)項(xiàng)目均已發(fā)布了修復(fù)版本，用戶只需更新到最新版本即可消除安全隱患。

具體而言，Vant受影響的版本包括4.9.11至4.9.14、3.6.13至3.6.15以及2.13.3至2.13.5。用戶應(yīng)更新至安全版本：4.9.15、3.6.16和2.13.6。Rspack方面，受影響的版本為@rspack/core和@rspack/cli的1.1.7版本，用戶需更新至1.1.8版本以確保安全。

此次安全事件再次提醒了開發(fā)者們重視供應(yīng)鏈安全的重要性。在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中，保護(hù)好自己的認(rèn)證信息和代碼庫是確保項(xiàng)目安全的關(guān)鍵。同時(shí)，及時(shí)更新和維護(hù)項(xiàng)目依賴也是防范此類攻擊的有效手段。