第一时间收到文章更新
事件概述
2024年12月19日上午,开源项目领域突发安全危机,知名移动端组件库“Vant”以及“rspack”遭遇投毒攻击。Vant作为轻量且可定制的移动端组件库,在开发过程中一名团队成员的npm token被盗用,致使多个问题版本被发布,且这些版本存在安全隐患。几乎在同一时间,攻击者运用相同手段对rspack实施了投毒行为。幸运的是,开源社区反应迅速,在短短几小时内就完成了对问题版本的下线处理,有效遏制了安全风险的进一步扩散。
受影响版本详情
1.Vant受影响版本
4.9.14、4.9.13、4.9.12、4.9.11、3.6.15、3.6.14、3.6.13、2.13.5、2.13.4、2.13.3等版本均受到此次投毒事件影响。这些版本在短时间内被发布,且下载量在事件曝光前均为0,表明社区在问题发生后及时采取措施阻止了其进一步传播。
2.Rspack受影响版本
rspack的1.1.7版本受到攻击,攻击者利用相关token发布了带有恶意代码的此版本。
安全团队应对策略
1.版本核对
安全团队首要任务是与研发部门协作,仔细核对项目中是否使用了Vant和rspack的受影响版本。这一步骤至关重要,能够精准定位可能存在安全风险的部分,为后续处理提供依据。
2.安全意识强化
此次事件凸显出研发人员安全意识的重要性。安全团队应加强对研发部门的安全教育,着重强调切勿将token、私钥密码等敏感信息写入代码仓库。此类信息一旦泄露,极易引发类似的安全事故,造成不可预估的损失。
事件后续处理
1.Vant安全版本发布
Vant团队迅速行动,发布了安全版本4.9.15、3.6.16、2.13.6,以替代受影响的版本,确保用户能够安全地使用该组件库。
2.Rspack安全版本发布与问题修复
rspack团队同样高效应对,在一小时内废弃了问题版本1.1.7,并发布了修复版本1.1.8。同时,参考相关讨论和处理过程(https://github.com/web-infra-dev/rspack/issues/8767),完成了问题排查与修复工作,保障了项目的安全性和稳定性。
3.Token清理工作完成
目前,涉及此次事件的相关token已经全部清理,从源头上消除了安全隐患,降低了再次遭受类似攻击的风险。
此次开源项目Vant和rspack遭投毒事件为整个开源社区敲响了警钟,各方应高度重视安全问题,积极采取措施加强防范,确保开源项目的安全可靠,维护广大开发者和用户的利益。同时,社区也应持续关注和改进安全机制,以应对不断变化的安全挑战。
![]()
推荐阅读:
![]()
推荐阅读:
