編集

Rspack v1.1.8

#Rspack

マルウェアを含んでいた Rspack v1.1.7 に対処した Rspack v1.1.8 がリリースされた。

https://github.com/web-infra-dev/rspack/releases/tag/v1.1.8

問題のあるバージョンは、漏洩した npm アクセストークンから正規の手段でリリースされ、 Lifecycle scripts経由でマルウェアが実行されるようになっていた。

https://github.com/web-infra-dev/rspack/issues/8767

この事態を受けて、pnpm v10-rc では、lifecycle scripts の実行をデフォルトで無効化する変更が入った。 なお Bun では既にデフォルトで lifecycle scripts の実行が無効化されており、信頼されたパッケージのみが実行でのみ実行されるようになっている。

https://github.com/pnpm/pnpm/releases/tag/v10.0.0-rc.2

編集