IT之家 12 月 21 日报道,有赞开源组件库 Vant 维护者 12 月 19 日在 GitHub 上发布公告,称因其中一名团队成员的 npm token 被盗,并被注入恶意脚本代码,官网紧急紧急处理放弃了它。已确定多个受影响的版本,最新版本已发布。
是什么导致了这个问题
维护者表示:
来源是某个 GitHub Actions 工作流程中的 Pwn Request 漏洞,位于另一个 GitHub 组织中。 Vant和Rspack的组织和维护者受到间接攻击,本身不存在漏洞。
攻击者在工作流中获取token后,利用该token的多组织贡献权限直接推送代码并持续窃取其他GitHub组织的工作流中的token,最终获得了Vant和Rspack的npm token。
目前,所有相关token和源码工作流漏洞均已得到处理。
最新版本
官方已紧急废弃以下异常版本,请不要使用:
官方团队已经发布了安全的新版本,npmlatest标签已经指向新版本:
开源组件库Vant简介
IT之家查询公共信息。 Vant是由有赞前端团队开发和维护的轻量级、可靠的移动端Vue组件库。它提供了一套完整的UI基础组件和业务组件,主要帮助开发者快速构建统一的风格。移动页面,提高开发效率。
该组件于2017年开源,官方提供Vue 2版本、Vue 3版本和微信小程序版本,社区团队维护React版本和支付宝小程序版本。
