有赞开源 Vue 组件库Vant遭恶意代码注入，已发布安全新版本

IT之家 12 月 21 日消息，有赞开源组件库 Vant 维护者于 12 月 19 日在 GitHub 发布公告，表示由于其中一位团队成员的 npm token 被盗用，并注入了恶意脚本代码，官方紧急废弃了多个受影响版本，发布了最新版本。

导致问题原因

维护者表示：

源头是某个 GitHub Actions workflow 存在 Pwn Request 漏洞，位于另一个 GitHub 组织。Vant 和 Rspack 所在的组织以及维护者是被间接攻击的，本身不存在漏洞。

攻击者拿到了该 workflow 中的 token 后，利用该 token 具有的多组织贡献权限，直接 push 代码继续窃取其他 GitHub 组织 workflows 中的 token，最终拿到 Vant 与 Rspack 的 npm token。

目前相关 token 和源头 workflow 漏洞已经全部处理。

最新版本

官方目前紧急废弃了以下异常版本，请勿使用：

• 4.9.14

• 4.9.13

• 4.9.12

• 4.9.11

• 3.6.15

• 3.6.14

• 3.6.13

• 2.13.5

• 2.13.4

• 2.13.3

官方团队发布了安全的新版本，npm latest tag 已经指向新版本：

• 4.9.15

• 3.6.16

• 2.13.6

有赞开源组件库 Vant 简介

IT之家查询公开资料，Vant 是由有赞前端团队开发和维护的轻量、可靠的移动端 Vue 组件库，提供了一整套 UI 基础组件和业务组件，主要帮助开发者快速搭建出风格统一的移动端页面，并提升开发效率。

该组件于 2017 年开源，官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本，并由社区团队维护 React 版本和支付宝小程序版本。