知名前端库 Vant 和 Rspack 遭恶意代码投毒，大家注意升级！

主要观点总结

本文报道了前端社区发生的供应链投毒事件，涉及知名开源组件库Vant和构建工具Rspack。攻击者通过恶意代码注入，在受影响的版本中执行挖矿程序，并窃取用户云服务凭据。事件已引起开发团队的注意，并提供了应对措施和建议。

关键观点总结

关键观点1: 供应链投毒事件概述

前端社区发生供应链投毒事件，涉及Vant和Rspack。攻击者恶意代码注入，执行挖矿程序，窃取用户云服务凭据。

关键观点2: 事件起因

Vant维护者的Token被恶意窃取，攻击者利用此机会注入恶意代码。

关键观点3: 攻击细节

攻击者在package.json中添加"postinstall"命令，安装时执行恶意脚本。在受影响的版本中下载并运行名为"vant_helper"的挖矿程序，并窃取用户云服务凭据。

关键观点4: 受影响范围

Vant的4.9.11 - 4.9.14、3.6.13 - 3.6.15、2.13.3 - 2.13.5版本受影响；Rspack的@rspack/core和@rspack/cli的1.1.7版本受影响。

关键观点5: 应对措施和建议

尽快升级Vant和Rspack到安全版本，停止使用受影响的版本。加强供应链安全意识，注意前端供应链安全的问题。

免责声明