近日，前端開(kāi)發(fā)領(lǐng)域發(fā)生了一起重大的供應(yīng)鏈安全事件，波及到了兩個(gè)知名開(kāi)源項(xiàng)目：有贊的Vant組件庫(kù)和字節(jié)跳動(dòng)推出的Rspack前端打包工具。

據(jù)Vant項(xiàng)目的維護(hù)團(tuán)隊(duì)在GitHub上的公告，該事件起源于團(tuán)隊(duì)成員的npm token被盜。攻擊者利用這一權(quán)限，向Vant的多個(gè)版本中植入了惡意腳本，并成功地將這些受污染的版本發(fā)布到了npm倉(cāng)庫(kù)中。這一行為嚴(yán)重危害了使用這些版本的開(kāi)發(fā)者的安全。

更為嚴(yán)重的是，此次攻擊并未止步于Vant。攻擊者通過(guò)某種方式進(jìn)一步獲取了同一GitHub組織下Rspack項(xiàng)目的npm token，并發(fā)布了含有惡意代碼的Rspack 1.1.7版本。不過(guò)，Rspack團(tuán)隊(duì)反應(yīng)迅速，在一小時(shí)內(nèi)就識(shí)別并廢棄了受影響的版本，緊接著發(fā)布了修復(fù)版1.1.8。

目前，兩個(gè)項(xiàng)目的維護(hù)團(tuán)隊(duì)已經(jīng)清理了所有相關(guān)的npm token，并發(fā)布了修復(fù)版本，以確保開(kāi)發(fā)者能夠安全地使用這些工具。對(duì)于Vant來(lái)說(shuō)，受影響的版本包括4.9.11至4.9.14、3.6.13至3.6.15以及2.13.3至2.13.5，而安全版本則分別為4.9.15、3.6.16和2.13.6。Rspack方面，受影響的版本為@rspack/core和@rspack/cli的1.1.7版本，安全版本為1.1.8。

此次事件再次提醒了開(kāi)發(fā)者們開(kāi)源項(xiàng)目在供應(yīng)鏈安全方面所面臨的挑戰(zhàn)。盡管這些項(xiàng)目為開(kāi)發(fā)者提供了極大的便利，但一旦安全防線被突破，就可能帶來(lái)嚴(yán)重的后果。因此，開(kāi)發(fā)者們?cè)谑褂瞄_(kāi)源項(xiàng)目時(shí)，需要更加謹(jǐn)慎，并時(shí)刻保持對(duì)安全問(wèn)題的關(guān)注。