前端開發社群近日遭遇嚴重供應鏈安全事件，有讚開源元件庫Vant和位元組跳動開源的前端打包工具Rspack多個版本被植入惡意程式碼。 12月19日，Vant專案維護者在GitHub上發佈公告，稱因團隊成員的npm token被盜用，攻擊者向Vant的多個版本中註入了惡意腳本代碼，並發布至npm倉庫。

這次安全事件導致攻擊者進一步取得了同一GitHub組織下Rspack維護者的npm token，並發布了含有惡意程式碼的Rspack 1.1.7版本。

不過Rspack團隊在一小時內便廢棄了受影響版本，並發布了1.1.8修復版本，目前，所有相關token已清理，兩個項目均已發布修復版本。

受影響的Vant版本包括4.9.11-4.9.14、3.6.13-3.6.15、2.13.3-2.13.5，安全版本為4.9.15、3.6.16、2.13.6。

Rspack受影響版本為@rspack/core: 1.1.7和@rspack/cli: 1.1.7，安全版本為1.1.8。