507 - 《供应链投毒和安全》
发布于 2024年12月30日
之前就起了个标题,一直拖着,到现在都快忘记内容了。简单写下吧。
1、事件始末应该是 vant 和 rspack 的维护者的 token 被盗,然后导致被恶意发包。vant 依赖被投毒后,会在构建时访问恶意网站 pool.supportxmr.com ,其会在本地进行挖矿。这种供应链投毒事件还是挺危险的。翻记录 rspack 这好像已经是第二次了,在 24 年 5 月也有一次?
2、蚂蚁应对还是很快的。收到反馈后,拉黑 vant 包,反查还在用 vant 的包和迭代,利用 bug-versions 标记为异常版本。DONE。
3、盲猜原因应该也是 token 被盗,被盗原因应该是 github action 的供应链攻击。antd 之前也有一次类似经历,导致 github star 被清 0,其实也是这个原因。