507 - 《供应链投毒和安全》

之前就起了个标题，一直拖着，到现在都快忘记内容了。简单写下吧。

1、事件始末应该是 vant 和 rspack 的维护者的 token 被盗，然后导致被恶意发包。vant 依赖被投毒后，会在构建时访问恶意网站 pool.supportxmr.com ，其会在本地进行挖矿。这种供应链投毒事件还是挺危险的。翻记录 rspack 这好像已经是第二次了，在 24 年 5 月也有一次？

2、蚂蚁应对还是很快的。收到反馈后，拉黑 vant 包，反查还在用 vant 的包和迭代，利用 bug-versions 标记为异常版本。DONE。

3、盲猜原因应该也是 token 被盗，被盗原因应该是 github action 的供应链攻击。antd 之前也有一次类似经历，导致 github star 被清 0，其实也是这个原因。