2024年12月19日,vant仓库新增一条issue,vant 2.13.5 被投毒,挖矿。
具体原因
可能是团队一名成员的 token 被盗用
与本次事件关联的攻击
攻击者在利用 @landluck 的 token 进行攻击后,进一步拿到了同个 GitHub 组织下的维护者 @chenjiahan 的 token,并发布了带有相同恶意代码的 Rspack 1.1.7 版本。
Rspack 团队已经在一小时内完成该版本的废弃处理,并发布了 1.1.8 修复版本,参考 web-infra-dev/rspack#8767 (comment)
目前相关 token 已经全部清理。
相关版本
以下异常版本被盗号者注入了脚本,已经全部标记为废弃,请勿使用!
有使用的大家可以升级版本,降低影响。
