12 月 21 日消息，有贊開源組件庫 Vant 維護(hù)者于 12 月 19 日在 GitHub 發(fā)布公告，表示由于其中一位團(tuán)隊成員的 npm token 被盜用，并注入了惡意腳本代碼，官方緊急廢棄了多個受影響版本，發(fā)布了最新版本。

導(dǎo)致問題原因

維護(hù)者表示：

源頭是某個 GitHub Actions workflow 存在 Pwn Request 漏洞，位于另一個 GitHub 組織。Vant 和 Rspack 所在的組織以及維護(hù)者是被間接攻擊的，本身不存在漏洞。

攻擊者拿到了該 workflow 中的 token 后，利用該 token 具有的多組織貢獻(xiàn)權(quán)限，直接 push 代碼繼續(xù)竊取其他 GitHub 組織 workflows 中的 token，最終拿到 Vant 與 Rspack 的 npm token。

目前相關(guān) token 和源頭 workflow 漏洞已經(jīng)全部處理。

最新版本

官方目前緊急廢棄了以下異常版本，請勿使用：

• 4.9.14
• 4.9.13
• 4.9.12
• 4.9.11
• 3.6.15
• 3.6.14
• 3.6.13
• 2.13.5
• 2.13.4
• 2.13.3

官方團(tuán)隊發(fā)布了安全的新版本，npm latest tag 已經(jīng)指向新版本：

• 4.9.15
• 3.6.16
• 2.13.6

有贊開源組件庫 Vant 簡介

IT之家查詢公開資料，Vant 是由有贊前端團(tuán)隊開發(fā)和維護(hù)的輕量、可靠的移動端 Vue 組件庫，提供了一整套 UI 基礎(chǔ)組件和業(yè)務(wù)組件，主要幫助開發(fā)者快速搭建出風(fēng)格統(tǒng)一的移動端頁面，并提升開發(fā)效率。

該組件于 2017 年開源，官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本，并由社區(qū)團(tuán)隊維護(hù) React 版本和支付寶小程序版本。