有赞开源 Vue 组件库 Vant 遭恶意代码注入：已废弃异常版本、发布安全新版本

IT之家在12月21日发布的消息指出，有赞的开源组件库Vant维护者于12月19日在GitHub上发表声明，说明由于团队内某成员的npm token遭到盗取，并且恶意地注入了脚本代码，官方已经迅速废止了多个受影响版本，并发布了安全版本。

引发问题的原因

据维护者介绍：

问题源自某个存在Pwn Request漏洞的GitHub Actions工作流，此工作流位于其他GitHub组织中。Vant与Rspack的组织及维护者是间接受害者，其自身并无漏洞。

攻击者获取了该工作流中的token，并利用其在多个组织中的贡献权限，直接推送代码以窃取其他GitHub组织中的token，最终获取了Vant和Rspack的npm token。

目前，相关token和工作流漏洞已全部解决。

最新发布的版本

官方已经紧急废止以下受影响版本，请勿继续使用：

• 4.9.14

• 4.9.13

• 4.9.12

• 4.9.11

• 3.6.15

• 3.6.14

• 3.6.13

• 2.13.5

• 2.13.4

• 2.13.3

官方团队已推出安全的新版本，npm最新标签已指向该版本：

• 4.9.15

• 3.6.16

• 2.13.6

有赞开源组件库Vant简介

根据IT之家获取的公共信息，Vant是由有赞前端团队开发并维护的一款轻量级、可靠的移动端Vue组件库，提供了一系列基础UI组件和业务组件，旨在帮助开发者快速搭建统一风格的移动端页面，从而提高开发效率。

该组件于2017年开源，官方提供了Vue 2版本、Vue 3版本及微信小程序版本，并由社区团队维护React版本和支付宝小程序版本。

广告声明：文中所含的外部链接（包括但不限于超链接、二维码、口令等形式），旨在传递更多信息，节省选择时间，仅供参考。