507 - 《供应链投毒和安全》

发布于 2024年12月30日

之前就起了个标题,一直拖着,到现在都快忘记内容了。简单写下吧。

1、事件始末应该是 vant 和 rspack 的维护者的 token 被盗,然后导致被恶意发包。vant 依赖被投毒后,会在构建时访问恶意网站 pool.supportxmr.com其会在本地进行挖矿。这种供应链投毒事件还是挺危险的。翻记录 rspack 这好像已经是第二次了,在 24 年 5 月也有一次

2、蚂蚁应对还是很快的。收到反馈后,拉黑 vant 包,反查还在用 vant 的包和迭代,利用 bug-versions 标记为异常版本。DONE。

3、盲猜原因应该也是 token 被盗,被盗原因应该是 github action 的供应链攻击。antd 之前也有一次类似经历,导致 github star 被清 0,其实也是这个原因。

内容预览已结束

此内容需要会员权限。请先登录以查看完整内容。