震惊！知名开源项目Vant 2.13.5遭遇供应链投毒攻击

一、事件回顾：开源社区突发安全危机

2025年12月19日，前端开发领域爆发重大供应链投毒事件。开源移动端组件库Vant的2.13.5版本被发现注入了恶意挖矿代码，同时波及字节跳动的Rspack打包工具（1.1.7版本）。攻击者通过窃取开发团队成员的npm token权限，在多个版本中植入了门罗币挖矿程序，导致使用受影响版本的项目存在严重安全隐患。

二、攻击手段深度剖析

1. 权限窃取链式攻击

攻击者首先盗用了@landluck的npm token，随后利用该凭证获取同组织下核心维护者@chenjiahan的token权限，形成双重权限突破。这种链式攻击手段使得恶意代码能够绕过常规审查机制。

2. 恶意代码执行流程

被注入的脚本会在Linux系统自动执行以下操作：

下载名为vant_helper的恶意程序

连接攻击者控制的矿池服务器

使用预设钱包地址进行门罗币挖矿

消耗设备计算资源导致性能下降

3. 版本扩散路径

三、应急响应与修复方案

1. 官方处置措施

• 1小时内完成版本废弃：Rspack团队在发现问题后立即标记1.1.7版本为废弃状态
• Token全面清理：受影响组织已重置所有API凭证
• 安全补丁发布：Vant 4.9.15版本已移除恶意代码

2. 开发者自查指南

通过以下命令检查项目依赖：

npm list vant@2.13.5 vant@3.6.13 vant@4.9.13 @rspack/core@1.1.7

若存在上述版本，请立即执行：

npm update vant@latest @rspack/core@latest

四、开源供应链安全启示

1. 权限管理优化建议

• 实施多因素认证（MFA）机制
• 建立token的分级授权体系
• 定期审计第三方依赖项

2. 安全防护技术方案

• 使用Snyk、Dependabot等依赖扫描工具
• 配置CI/CD管道的行为检测规则
• 部署运行时应用自我保护（RASP）系统

五、开发者应对指南

• 立即检查项目中是否包含受影响版本
• 监控服务器CPU/GPU使用率异常波动
• 使用官方漏洞公告中的检测脚本
• 建立依赖库白名单机制

这起事件暴露了开源生态系统的脆弱性，也警示开发者必须建立全生命周期安全防护体系。建议各技术团队立即开展供应链安全审计，升级依赖管理流程，共同维护开源社区的健康生态。