震惊，开源项目vant 2.13.5 被投毒，挖矿！

2024年12月19日，vant仓库新增一条issue，vant 2.13.5 被投毒，挖矿。

具体原因

可能是团队一名成员的 token 被盗用

与本次事件关联的攻击

攻击者在利用 @landluck 的 token 进行攻击后，进一步拿到了同个 GitHub 组织下的维护者 @chenjiahan 的 token，并发布了带有相同恶意代码的 Rspack 1.1.7 版本。

Rspack 团队已经在一小时内完成该版本的废弃处理，并发布了 1.1.8 修复版本，参考 web-infra-dev/rspack#8767 (comment)

目前相关 token 已经全部清理。

相关版本

以下异常版本被盗号者注入了脚本，已经全部标记为废弃，请勿使用！

有使用的大家可以升级版本，降低影响。