12 月 21 日消息，有赞开源组件库 Vant 维护者于 12 月 19 日在 GitHub 发布公告，表示由于其中一位团队成员的 npm token 被盗用，并注入了恶意脚本代码，官方紧急废弃了多个受影响版本，发布了最新版本。

导致问题原因

维护者表示：

源头是某个 GitHub Actions workflow 存在 Pwn Request 漏洞，位于另一个 GitHub 组织。Vant 和 Rspack 所在的组织以及维护者是被间接攻击的，本身不存在漏洞。

攻击者拿到了该 workflow 中的 token 后，利用该 token 具有的多组织贡献权限，直接 push 代码继续窃取其他 GitHub 组织 workflows 中的 token，最终拿到 Vant 与 Rspack 的 npm token。

目前相关 token 和源头 workflow 漏洞已经全部处理。

官方目前紧急废弃了以下异常版本，请勿使用：

4.9.14

4.9.13

4.9.12

4.9.11

3.6.15

3.6.14

3.6.13

2.13.5

2.13.4

2.13.3

官方团队发布了安全的新版本，npm latest tag 已经指向新版本：

4.9.15

3.6.16

2.13.6

查询公开资料，Vant 是由有赞前端团队开发和维护的轻量、可靠的移动端 Vue 组件库，提供了一整套 UI 基础组件和业务组件，主要帮助开发者快速搭建出风格统一的移动端页面，并提升开发效率。

该组件于 2017 年开源，官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本，并由社区团队维护 React 版本和支付宝小程序版本。