近日，有贊開源的移動端Vue組件庫Vant遭遇了一次安全事件，該事件由團隊成員的npm token被盜用引發(fā)。12月19日，Vant的維護者在GitHub上發(fā)布了公告，緊急通報了這一情況，并指出多個版本因被注入惡意腳本代碼而受到影響。

據(jù)維護者透露，此次安全問題的源頭并非Vant本身存在漏洞，而是由于另一個GitHub組織中的GitHub Actions workflow存在Pwn Request漏洞。攻擊者通過這一漏洞獲得了workflow中的token，并利用該token的多組織貢獻權(quán)限，進一步竊取了其他GitHub組織workflows中的token，最終成功獲取了Vant與Rspack的npm token。

在發(fā)現(xiàn)安全問題后，官方迅速采取了行動，廢棄了所有受影響的版本，并發(fā)布了最新的安全版本。維護者強調(diào)，目前所有相關(guān)的token和源頭workflow漏洞都已經(jīng)得到了處理，用戶可以放心使用最新版本。

具體來說，官方緊急廢棄了以下版本，并提醒用戶切勿使用：4.9.14、4.9.13、4.9.12、4.9.11、3.6.15、3.6.14、3.6.13、2.13.5、2.13.4和2.13.3。同時，官方團隊發(fā)布了新的安全版本，包括4.9.15、3.6.16和2.13.6，npm的latest tag也已經(jīng)指向了這些新版本。

Vant是由有贊前端團隊開發(fā)和維護的輕量級、可靠的移動端Vue組件庫。自2017年開源以來，它一直受到廣大開發(fā)者的青睞，提供了一整套UI基礎(chǔ)組件和業(yè)務(wù)組件，幫助開發(fā)者快速搭建出風(fēng)格統(tǒng)一的移動端頁面，并顯著提升開發(fā)效率。Vant不僅支持Vue 2和Vue 3版本，還提供了微信小程序版本，由社區(qū)團隊維護React版本和支付寶小程序版本。

對于此次安全事件，有贊團隊表示將進一步加強安全防范措施，確保類似問題不再發(fā)生。同時，他們也提醒廣大開發(fā)者在使用開源組件庫時，要注意關(guān)注官方公告，及時更新到最新版本，以確保應(yīng)用的安全性。

有贊團隊還建議開發(fā)者在使用npm等包管理工具時，要注意保護好自己的token等敏感信息，避免被不法分子利用。只有共同努力，才能構(gòu)建一個更加安全、可靠的開源生態(tài)環(huán)境。