Rspack 和 Vant 发现恶意 npm 包

文章重点

• Rspack 和 Vant 的多个 npm 包被发现存在安全漏洞。
• 攻击者利用被盗的 npm 账户令牌插入恶意代码。
• 该攻击涉及到 XMRig 加密货币挖矿恶意软件。
• 两个库的开发者已发布安全更新，用户需尽快升级。

近期， 报道称，流行的高性能 JavaScript打包工具 Rspack 和可定制的 Vue.js UI 库 Vant 被发现有多个广泛使用的 npm 包遭到入侵，旨在通过
分发 XMRig 加密货币挖矿恶意软件。

调查显示，被盗的 npm 账户令牌被攻击者利用，以在 @rspack/core 和 @rspack/cli 包的 ‘support.js’ 和
‘config.js’ 文件中集成恶意代码。这段代码会在 npm 的安装后脚本中自动执行，进而获取目标系统的位置和网络信息，最终下载 XMRig二进制文件。同时，受影响的 Vant 包被发现将 XMRig 隐藏为 ‘/tmp/vant_helper’。

Rspack 和 Vant 随后迅速应对了这一问题，Rspack 已敦促用户立即更新至版本 1.1.8 或更高版本。此外，Vant 也呼吁用户及时应用版本
4.9.15 或更新，以避免系统受到攻击的风险。

受影响库 | 版本号 | 修复建议
—|—|—
Rspack | 1.1.8 及更高版本 | 请立即更新
Vant | 4.9.15 及更高版本 | 请立即更新

注意：保持依赖库的最新状态是确保开发环境安全的重要措施。请尽快对照上表更新您的项目。