热门开源包中出现加密挖矿恶意软件

据Infosecurity-magazine消息，安全研究人员发现，针对热门开源包的一系列高调入侵事件，凸显恶意代码渗入常用软件工具的风险在增加。威胁行为者在 rspack（JavaScript 打包工具）和 vant（移动端网页应用的 Vue UI 库）相关包中植入加密挖矿恶意软件，二者每周在 npm 上有数十万下载量。受影响版本已被替换或修复，此类事件是开源软件遭入侵大趋势一部分，此前也发生过多起类似攻击。