知名前端库 Vant 和 Rspack 遭恶意代码投毒,大家注意升级!

最新推荐文章于 2026-06-23 15:10:44 发布
转载 最新推荐文章于 2026-06-23 15:10:44 发布 · 554 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
原文链接:https://mp.weixin.qq.com/s?__biz=Mzg4MTYwMzY1Mw==&mid=2247513969&idx=1&sn=d7f5cb6c8cc73951fa13a392c4406b0e&chksm=ce5e5aa2e2e894edf11a9c8367210974745e68db64cc879dde9e0ee0caa3890e316d7995bc7e&scene=126&sessionid=0
GEO检测
标签
#前端

大家好,我是 ConardLi

今天,前端社区又爆发了一起严重的供应链投毒事件。知名开源组件库 Vant 和构建工具 Rspack 遭遇恶意代码注入。

事件的开端源于 Vant 的维护者 landluck (应该是被攻击者恶意窃取了 Token)将带有恶意脚本的版本发布到了 npm 仓库。攻击者在 package.json 中添加了 "postinstall": "node lib/utils/support.js",该命令在安装时会执行恶意脚本。

d24c7e7ba937c61802a5668f93772409.png

社区用户在使用过程中发现异常,并在 GitHub 上报告了这一问题,迅速引起了开发团队的注意。

74aac40541033dd84d6f9e5ae40a65da.png 42a4d6cc9d66a8dec1ef97a932f67586.png

随后 Vant 维护者标记了受攻击的版本:

4bd55dc4e4235f1867d273ff127e9047.png

紧接着,攻击蔓延到 Rspack。推测攻击者利用 landluck 的 npm 和 GitHub 令牌,获取了在同一 GitHub 组织下的 Rspack 维护者的 npm 令牌。

777ab5e64ae3400e39a48dd36a04cbea.png

随即,攻击者发布了含有相似攻击机制的 @rspack/core@rspack/cli 的 1.1.7 版本,Rspack 用户反馈了该问题:

630f2aae7f60ad7e9e0c5f92abe4a230.png
受影响范围

  • Vant 受影响版本

    • 4.9.11 - 4.9.14

    • 3.6.13 - 3.6.15

    • 2.13.3 - 2.13.5

  • 安全版本

    • 4.9.15

    • 3.6.16

    • 2.13.6

  • Rspack 受影响版本

    • @rspack/core: 1.1.7

    • @rspack/cli: 1.1.7

  • 安全版本

    • 1.1.8

恶意行为详情

在受影响的版本中,恶意代码会在 Linux 系统上下载并运行名为 vant_helper 的挖矿程序,并利用攻击者指定的钱包地址进行门罗币挖矿。

7d8d631ee6c80da644690e8a579d2298.jpeg

另外攻击者不仅仅是通过安装脚本来运行挖矿程序,他们还针对用户的云服务凭据进行了窃取,包括 /.aliyun/config.json/.hcloud/config.json 以及 ~/.tccli/default.credential 文件中的敏感信息。这些信息被发送到一个位于 80.78.28.72 的攻击者控制服务器。

应对措施和建议

尽快升级:确保项目使用的 VantRspack 均为安全版本,停止使用受影响的版本。

JavaScript 的强大之处在于其卓越的模块化能力,通过 npm 包管理机制,开发者可以轻易地引用并使用其他人或者组织已经编写好的开源代码,从而极大地加快了开发速度。但是,这种依赖关系的复杂性也给供应链的安全带来了巨大的风险。

在我之前的文章里也多次提到过前端供应链安全的问题,感兴趣可以看看:

大家尽快自查升级~

奇舞周刊
关注
软件供应链投毒 — NPM 恶意组件分析(二)
smellycat000的专栏
03-15 1364
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危...
首起针对国内金融企业的开源组件投毒攻击事件
murphysec的博客
08-15 2325
2023年8月9日,墨菲监控到用户名为 snugglejack_org (邮件地址:SnuggleBearrxx@hotmail.com)的用户发布到 NPM 仓中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量,经过确认该组件包携带远控脚本,从攻击者可控的 C2 服务器接收并执行系统命令,该组件包于2023年8月10日7点 21 分从 NPM 仓下架。
NPM组件包 vant部分版本内嵌挖矿代码
鸭梨山大。
12-26 1204
Vant 是一个轻量、可定制的移动端组件,于 2017 年开源。目前 Vant 官方提供了 Vue 2 版本、Vue 3 版本微信小程序版本,并由社区团队维护 React 版本支付宝小程序版本。
突发!Axios 供应链投毒,36亿年下载量JS沦陷,全平台面临远控风险(附自查/修复全教程)
weixin_68340504的博客
04-01 1676
【紧急预警】Axios供应链投毒事件深度解析:恶意版本axios@1.14.1axios@0.30.4通过盗取维护者账号发布,植入隐蔽远控木马。攻击者利用虚假依赖plain-crypto-jspostinstall脚本实现全平台无差别攻击,自动清除痕迹增加排查难度。影响范围涵盖前端框架、Node.js服务、CI/CD流水线等场景。本文提供三步紧急处置方案:1)通过三条命令快速自查;2)卸载恶意版本并锁定安全版本;3)设备处置与CI/CD加固。最后反思开源生态安全隐患,建议开发者锁定依赖版本、维护者加强账
【安全漏洞】Vue UIVant组件恶意投毒,字节RspacK也中招!请紧急修复!
weixin_49562392的博客
12-21 579
此事件凸显了开源项目在供应链安全方面的挑战,提醒开发者使用开源项目时需谨慎,并关注安全问题。再次提醒:为了避免黑客使用存在安全漏洞的版本,进行恶意攻击破坏,请大家尽快自查,更换项目存在安全漏洞的版本。请转发此文章或者告知其他人开发人员,尽快更换版本。
转转前端周刊第137期: 2024年AI 编程现在可以做到什么程度?
大转转FE
12-23 391
转转前端周刊本刊意在将整理业界精华文章给大家,期望大家一起打开视野如果你有发现一些精华文章想更多人分享,可以点击我们的公众号名称,将文章链接你的解读文案发给我们!我们会对内容进行筛选审核,保留你的推荐人署名,分享给更多的人1、2024年AI 编程现在可以做到什么程度?今年AI编程领域非常热闹,明星产品频出,从Copilot到Cursor到Windsurf,还有很多细分领域的产品都让人眼前一亮...
前端工程反思 - 从 YOLO、Vant知名开源项目上游依赖注入恶意挖矿应用谈谈 FOSS 的信任危机
分享有趣的、贴近生活的CS知识
12-23 1506
之前在知乎就看到过相关的回答,有人提问如何让自己被辞退后代码就不可用,有人就提到了自己弄一个知名的版本例如lodash.js然后引入,如果被辞退了,就改这个依赖注入一些随机性的行为让错误不容易被发现。没想到,真有人这么做了!然而,近期频发的供应链攻击事件,让人们对开源软件的信任产生了前所未有的危机。开源软件的繁荣是技术界的伟大成果,但供应链攻击表明,我们不能只享受开源的便利,而忽略其潜在风险。
紧急供应链投毒预警 | NPM生态再次受盗号攻击引发新一轮开源供应链投毒
软件供应链安全选型指南
09-16 1510
从昨日(2025.09.15)开始,悬镜供应链安全情报中心在NPM官方仓中持续捕获到多名开发者账户凭证被盗引发的多起热门组件高危投毒事件,主要包括开发者valorkin维护86个开源项目中的2个组件(ngx-bootstrap 与 ng2-file-upload)以及开发者scttcper维护54个开源项目中的14个组件(@ctrl/tinycolor等),总计涉及近40个开源组件项目,其中受影响的多个热门组件历史总下载量超过亿次,影响范围极大。本次事件距离上一次大规模NPM热门组件投毒仅一周时间。
两款知名国产前端开源项目被“投毒
safetybug的博客
12-20 3770
另外攻击者不仅仅是通过安装脚本来运行挖矿程序,他们还针对用户的云服务凭据进行了窃取,包括 /.aliyun/config.json、 /.hcloud/config.json 以及 ~/.tccli/default.credential 文件中的敏感信息。在受影响的版本中,恶意代码会在 Linux 系统上下载并运行名为 vant_helper 的挖矿程序,并利用攻击者指定的钱包地址进行门罗币挖矿。Rspack 团队知释后在一小时内完成该版本的废弃处理,并发布了 1.1.8 修复版本。
微信小程序中使用vant UI组件所踩的坑
热门推荐
一捆铁树枝的博客
11-28 3万+
"Vant Weapp 是有赞移动端组件 Vant 的小程序版本,两者基于相同的视觉规范,提供一致的 API 接口,助力开发者快速搭建小程序应用。" 以上是在vant UI官网对vant UI的描述; 官网地址:https://youzan.github.io/vant-weapp/#/intro 在我注册完成小程序后,我就准备通过微信开发者工具来进行开发,之前并没有在微信小程序中引入第三...
Node.js + Express 入门实战笔记-03-CORS
weixin_47138303的博客
06-18 270
浏览器会发请求,但若响应里没有合适的 CORS 头,浏览器会拦截 JS 读取响应,控制台才报 CORS 错。允许跨域请求携带 Cookie、 TLS 客户端证书(很少见)、HTTP 基本认证(浏览器弹窗那种,很少见)等凭证。预检通过后,浏览器才发真正的 POST(带 Authorization)是服务器通过响应头告诉浏览器「这个跨域请求我允许」的机制。所以 React(10086)请求 API(8080)属于。预检时声明客户端(浏览器)可以带哪些非简单请求头。浏览器缓存预检结果,减少重复 OPTIONS。
Vue2 + flv.js 对接海康威视摄像头实现数据大屏实时视频监控(完整方案)
pony君的博客
06-18 463
本文介绍了在Vue2数据大屏中对接海康威视摄像头的完整方案,解决浏览器无法直接播放RTSP流的问题。通过对比HTTP-FLV、HLS、WebRTC等技术方案,最终采用HTTP-FLV为主+HLS为备选的策略,利用flv.jshls.js实现低延迟视频监控。文章详细说明了整体架构设计、前端实现代码(包括分屏布局、播放器初始化等关键代码),并分享了实际项目中的技术选型经验解决方案。该方案适用于工业MES系统、仓储管理等需要实时监控的场景,支持2x2/4x4分屏切换,已在淀粉厂MES系统中成功应用。
Unity PICO4 学习记录8: WebRTC
m0_63485455的博客
06-22 412
这一篇PICO本身没什么关系,只是记录一下开发过程我们要做一个“从超声设备采集影像数据,一对多地传给XR眼镜终端以及其他可能的设备”应用。发送端是Jetson,由同事负责;接收端XR眼镜端由我负责。同事说视频采集卡例程里给了两种通信协议:RSTPWebRTC.一开始我尝试用HoloLens2,因为老师医生们似乎更喜欢OST而不是VST;但是UWP ARM64 媒体栈对 RTSP 支持弱、MixedReality-WebRTC 停更,所以 HL2 不适合当主验证平台。
WhatsApp Cloud API 踩坑:webhook 验证成功,消息却收不到
weixin_38680881的博客
06-22 366
先查——返回空就是它,POST补上立刻通。(90% 的情况到这一步就解决了)别假设"测试号自动、生产号才要配"——订阅是 WABA 级关系,不会跨环境自动延续,也可能是别人替你配过却没记录。直接对生产 WABA 跑自查,缺了就POST补。用验的typeexpires_at(生产要0看日志而非状态码判断验签——验签失败也返回 200。别被"支付方式"告警带偏——客服窗口内回复免费,不需要支付。号码"未注册"走 Cloud API/register(设好 PIN)。
AI+时代的前端开发:框架演进、职业重构与未来十年展望
心有猛虎细嗅蔷薇
06-18 511
前端开发并未"死亡",而是在 AI 的催化下经历一场深刻的范式转移。从"页面组装工"到"体验架构师",从"技术执行者"到"AI 协作者"——这场变革淘汰的是固守旧范式的从业者,奖励的是拥抱变化、持续进化的学习者。未来十年,大前端的边界将被彻底打破,而站在技术与产品交汇点的全栈工程师,将成为最稀缺的资源。对于 Vue 生态的开发者而言,2026 年是一个关键节点:Vapor Mode 的成熟标志着 Vue 进入"易用且极致"的新时代,Nuxt 4 的全栈能力让 Vue 开发者可以触达更广阔的技术领域。
TokUI开源解析:AI流式渲染,解锁对话富UI新形态
AIGS001的博客
06-23 177
TokUI开源解析:AI流式渲染,解锁对话富UI新形态在大模型应用快速普及的当下,绝大多数AI对话产品始终存在一个核心痛点:大模型具备数据分析、图表绘制、工具调用、智能推理等多元能力,最终输出却只能以纯文本、基础Markdown的形式展示,用户只能看到单调的文字内容,无法获得可视化、可交互的沉浸式体验。为解决这一行业难题,向量空间JBoltAI正式开源自研前端项目TokUI,为AI前端交互、Agent可视化领域提供了全新的轻量化解决方案。TokUI是向量空间JBoltAI重磅推出的。
DataX-Web 部署全流程实战指南(WSL2 + Docker 环境)
最新发布
Irene1991的博客
06-23 314
本文详细介绍了在Windows11 WSL2环境中部署DataX-Web可视化数据同步平台的全过程。
当 Agent 接管操作系统:鸿蒙 PC“第二操作系统”架构解析
qq_36863796的博客
06-17 6482
文章摘要: 随着AI时代的到来,传统操作系统(如Windows、HarmonyOS等)聚焦的“资源管理”模式正面临挑战。未来软件系统的核心需求转向“目标管理”,催生了运行于操作系统之上的“第二操作系统”——Agent Runtime。它承担任务规划、上下文管理、工具调度等新职责,形成“目标驱动”的新架构。HarmonyOS PC可能率先实现双层Runtime架构:底层HarmonyOS Kernel管理硬件资源,上层Agent Runtime与Workspace Runtime协同处理任务、上下文及工具调度
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值