有赞开源组件库 Vant 一团队成员npm token被盗用，注入恶意脚本代码。官方紧急废弃多个受影响版本并发布新版本，原因是GitHub Actions workflow存在漏洞，目前相关问题已处理。Vant是移动端Vue组件库，可提升开发效率。

😱有赞开源组件库Vant团队成员npm token被盗

🚨攻击者利用漏洞窃取其他组织Workflows中token

🎉官方废弃受影响版本并发布安全新版本

👍Vant是轻量可靠的移动端Vue组件库

IT之家 12 月 21 日消息，有赞开源组件库 Vant 维护者于 12 月 19 日在 GitHub 发布公告，表示由于其中一位团队成员的 npm token 被盗用，并注入了恶意脚本代码，官方紧急废弃了多个受影响版本，发布了最新版本。

导致问题原因

维护者表示：

源头是某个 GitHub Actions workflow 存在 Pwn Request 漏洞，位于另一个 GitHub 组织。Vant 和 Rspack 所在的组织以及维护者是被间接攻击的，本身不存在漏洞。

攻击者拿到了该 workflow 中的 token 后，利用该 token 具有的多组织贡献权限，直接 push 代码继续窃取其他 GitHub 组织 workflows 中的 token，最终拿到 Vant 与 Rspack 的 npm token。

目前相关 token 和源头 workflow 漏洞已经全部处理。

最新版本

官方目前紧急废弃了以下异常版本，请勿使用：

4.9.14

4.9.13

4.9.12

4.9.11

3.6.15

3.6.14

3.6.13

2.13.5

2.13.4

2.13.3

官方团队发布了安全的新版本，npm latest tag 已经指向新版本：

4.9.15

3.6.16

2.13.6

有赞开源组件库 Vant 简介

IT之家查询公开资料，Vant 是由有赞前端团队开发和维护的轻量、可靠的移动端 Vue 组件库，提供了一整套 UI 基础组件和业务组件，主要帮助开发者快速搭建出风格统一的移动端页面，并提升开发效率。

该组件于 2017 年开源，官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本，并由社区团队维护 React 版本和支付宝小程序版本。