有贊開源 Vue 組件庫 Vant 遭惡意代碼注入：已廢棄異常版本、發(fā)布安全新版本

IT之家 12 月 21 日消息，有贊開源組件庫 Vant 維護(hù)者于 12 月 19 日在 GitHub 發(fā)布公告，表示由于其中一位團(tuán)隊(duì)成員的 npm token 被盜用，并注入了惡意腳本代碼，官方緊急廢棄了多個受影響版本，發(fā)布了最新版本。

導(dǎo)致問題原因

維護(hù)者表示：

源頭是某個 GitHub Actions workflow 存在 Pwn Request 漏洞，位于另一個 GitHub 組織。Vant 和 Rspack 所在的組織以及維護(hù)者是被間接攻擊的，本身不存在漏洞。

攻擊者拿到了該 workflow 中的 token 后，利用該 token 具有的多組織貢獻(xiàn)權(quán)限，直接 push 代碼繼續(xù)竊取其他 GitHub 組織 workflows 中的 token，最終拿到 Vant 與 Rspack 的 npm token。

目前相關(guān) token 和源頭 workflow 漏洞已經(jīng)全部處理。

最新版本

官方目前緊急廢棄了以下異常版本，請勿使用：

• 4.9.14

• 4.9.13

• 4.9.12

• 4.9.11

• 3.6.15

• 3.6.14

• 3.6.13

• 2.13.5

• 2.13.4

• 2.13.3

官方團(tuán)隊(duì)發(fā)布了安全的新版本，npm latest tag 已經(jīng)指向新版本：

• 4.9.15

• 3.6.16

• 2.13.6

有贊開源組件庫 Vant 簡介

IT之家查詢公開資料，Vant 是由有贊前端團(tuán)隊(duì)開發(fā)和維護(hù)的輕量、可靠的移動端 Vue 組件庫，提供了一整套 UI 基礎(chǔ)組件和業(yè)務(wù)組件，主要幫助開發(fā)者快速搭建出風(fēng)格統(tǒng)一的移動端頁面，并提升開發(fā)效率。

該組件于 2017 年開源，官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本，并由社區(qū)團(tuán)隊(duì)維護(hù) React 版本和支付寶小程序版本。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。