震惊!知名开源项目Vant 2.13.5遭遇供应链投毒攻击
一、事件回顾:开源社区突发安全危机
2025年12月19日,前端开发领域爆发重大供应链投毒事件。开源移动端组件库Vant的2.13.5版本被发现注入了恶意挖矿代码,同时波及字节跳动的Rspack打包工具(1.1.7版本)。攻击者通过窃取开发团队成员的npm token权限,在多个版本中植入了门罗币挖矿程序,导致使用受影响版本的项目存在严重安全隐患。
二、攻击手段深度剖析
1. 权限窃取链式攻击
攻击者首先盗用了@landluck的npm token,随后利用该凭证获取同组织下核心维护者@chenjiahan的token权限,形成双重权限突破。这种链式攻击手段使得恶意代码能够绕过常规审查机制。
2. 恶意代码执行流程
被注入的脚本会在Linux系统自动执行以下操作:
下载名为vant_helper的恶意程序
连接攻击者控制的矿池服务器
使用预设钱包地址进行门罗币挖矿
消耗设备计算资源导致性能下降
3. 版本扩散路径
| 受影响项目 | 恶意版本 | 修复版本 |
|---|---|---|
| Vant | 2.13.5/3.6.13/4.9.13 | 4.9.15 |
| Rspack | 1.1.7 | 1.1.8 |
三、应急响应与修复方案
1. 官方处置措施
- 1小时内完成版本废弃:Rspack团队在发现问题后立即标记1.1.7版本为废弃状态
- Token全面清理:受影响组织已重置所有API凭证
- 安全补丁发布:Vant 4.9.15版本已移除恶意代码
2. 开发者自查指南
通过以下命令检查项目依赖:
npm list vant@2.13.5 vant@3.6.13 vant@4.9.13 @rspack/core@1.1.7
若存在上述版本,请立即执行:
npm update vant@latest @rspack/core@latest
四、开源供应链安全启示
1. 权限管理优化建议
- 实施多因素认证(MFA)机制
- 建立token的分级授权体系
- 定期审计第三方依赖项
2. 安全防护技术方案
- 使用Snyk、Dependabot等依赖扫描工具
- 配置CI/CD管道的行为检测规则
- 部署运行时应用自我保护(RASP)系统
五、开发者应对指南
- 立即检查项目中是否包含受影响版本
- 监控服务器CPU/GPU使用率异常波动
- 使用官方漏洞公告中的检测脚本
- 建立依赖库白名单机制
这起事件暴露了开源生态系统的脆弱性,也警示开发者必须建立全生命周期安全防护体系。建议各技术团队立即开展供应链安全审计,升级依赖管理流程,共同维护开源社区的健康生态。
正文完
