IT之家 12 月 21 日消息,有赞开源组件库 Vant 维护者于 12 月 19 日在 GitHub 发布公告,表示由于其中一位团队成员的 npm token 被盗用,并注入了恶意脚本代码,官方紧急废弃了多个受影响版本,发布了最新版本。
导致问题原因
维护者表示:
源头是某个 GitHub Actions workflow 存在 Pwn Request 漏洞,位于另一个 GitHub 组织。Vant 和 Rspack 所在的组织以及维护者是被间接攻击的,本身不存在漏洞。 攻击者拿到了该 workflow 中的 token 后,利用该 token 具有的多组织贡献权限,直接 push 代码继续窃取其他 GitHub 组织 workflows 中的 token,最终拿到 Vant 与 Rspack 的 npm token。 目前相关 token 和源头 workflow 漏洞已经全部处理。最新版本
官方目前紧急废弃了以下异常版本,请勿使用:
4.9.14
4.9.13
4.9.12
4.9.11
3.6.15
3.6.14
3.6.13
2.13.5
2.13.4
2.13.3
官方团队发布了安全的新版本,npm latest tag 已经指向新版本:
4.9.15
3.6.16
2.13.6
IT之家查询公开资料,Vant 是由有赞前端团队开发和维护的轻量、可靠的移动端 Vue 组件库,提供了一整套 UI 基础组件和业务组件,主要帮助开发者快速搭建出风格统一的移动端页面,并提升开发效率。