近日，前端开发领域的两个知名开源项目 —— 有赞的 Vant 组件库和字节跳动的 Rspack 前端打包工具，遭遇了供应链安全事件。攻击者盗用了项目成员的 npm token，在 Vant 组件库的多个版本中植入恶意脚本并发布到 npm 仓库。随后，攻击者又获取了 Rspack 项目的 npm token，发布了含有恶意代码的 1.1.7 版本，但 Rspack 团队迅速响应，废弃了该版本并发布了修复版 1.1.8。两个项目的维护团队已清理相关 npm token，并发布了安全版本。此事件凸显了开源项目在供应链安全方面的挑战，提醒开发者使用开源项目时需谨慎，并关注安全问题。