12 月 21 日消息，有贊開源組件庫 Vant 維護者于 12 月 19 日在 GitHub 發布公告，表示由于其中一位團隊成員的 npm token 被盜用，并注入了惡意腳本代碼，官方緊急廢棄了多個受影響版本，發布了最新版本。

導致問題原因

維護者表示：

源頭是某個 GitHub Actions workflow 存在 Pwn Request 漏洞，位于另一個 GitHub 組織。Vant 和 Rspack 所在的組織以及維護者是被間接攻擊的，本身不存在漏洞。

攻擊者拿到了該 workflow 中的 token 后，利用該 token 具有的多組織貢獻權限，直接 push 代碼繼續竊取其他 GitHub 組織 workflows 中的 token，最終拿到 Vant 與 Rspack 的 npm token。

目前相關 token 和源頭 workflow 漏洞已經全部處理。

官方目前緊急廢棄了以下異常版本，請勿使用：

4.9.14

4.9.13

4.9.12

4.9.11

3.6.15

3.6.14

3.6.13

2.13.5

2.13.4

2.13.3

官方團隊發布了安全的新版本，npm latest tag 已經指向新版本：

4.9.15

3.6.16

2.13.6

查詢公開資料，Vant 是由有贊前端團隊開發和維護的輕量、可靠的移動端 Vue 組件庫，提供了一整套 UI 基礎組件和業務組件，主要幫助開發者快速搭建出風格統一的移動端頁面，并提升開發效率。

該組件于 2017 年開源，官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本，并由社區團隊維護 React 版本和支付寶小程序版本。