有赞开源 Vue 组件库Vant被恶意程序注入，安全新版本已经发布。

IT 世家 12 月 21 每日消息，有赞开源组件库 Vant 维护者于 12 月 19 日在 GitHub 该公告表示，由于其中一名团队成员的原因 npm token 被盗用，并且注入了恶意脚本代码，官方紧急废弃了多个受影响的版本，发布了最新版本。

造成问题的原因

维修人员表示：

源头是某个 GitHub Actions workflow 存在 Pwn Request 漏洞，位于另一个位置 GitHub 组织。Vant 和 Rspack 组织和维修人员被间接攻击，本身没有漏洞。

攻击者得到了这个 workflow 里的 token 后，利用该 token 具有多组织奉献权，直接 push 继续窃取其它代码 GitHub 组织 workflows 里的 token，最后拿到 Vant 与 Rspack 的 npm token。

目前有关 token 和源头 workflow 所有的漏洞都被处理掉了。

最新版

下列异常版本已被官方紧急废弃，请勿使用：

4.9.14

4.9.13

4.9.12

4.9.11

3.6.15

3.6.14

3.6.13

2.13.5

2.13.4

2.13.3

新版本的官方团队发布了安全，npm latest tag 已指向新版本：

4.9.15

3.6.16

2.13.6

有赞开源组件库 Vant 简介

IT 家庭查询公开资料，Vant 这是一款轻巧可靠的手机端，由有赞前端团队开发和维护。 Vue 组件库，提供一整套组件库 UI 基本组件和业务组件，主要帮助开发者快速构建统一的移动终端页面，提高开发效率。

该部件于 2017 年度开源，官方提供 Vue 2 版本、Vue 3 社区团队维护版本和小程序版本 React 支付宝小程序版本和版本。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com