近日,有赞开源的移动端Vue组件库Vant遭遇了一次安全事件,该事件由团队成员的npm token被盗用引发。12月19日,Vant的维护者在GitHub上发布了公告,紧急通报了这一情况,并指出多个版本因被注入恶意脚本代码而受到影响。
据维护者透露,此次安全问题的源头并非Vant本身存在漏洞,而是由于另一个GitHub组织中的GitHub Actions workflow存在Pwn Request漏洞。攻击者通过这一漏洞获得了workflow中的token,并利用该token的多组织贡献权限,进一步窃取了其他GitHub组织workflows中的token,最终成功获取了Vant与Rspack的npm token。
在发现安全问题后,官方迅速采取了行动,废弃了所有受影响的版本,并发布了最新的安全版本。维护者强调,目前所有相关的token和源头workflow漏洞都已经得到了处理,用户可以放心使用最新版本。
具体来说,官方紧急废弃了以下版本,并提醒用户切勿使用:4.9.14、4.9.13、4.9.12、4.9.11、3.6.15、3.6.14、3.6.13、2.13.5、2.13.4和2.13.3。同时,官方团队发布了新的安全版本,包括4.9.15、3.6.16和2.13.6,npm的latest tag也已经指向了这些新版本。
Vant是由有赞前端团队开发和维护的轻量级、可靠的移动端Vue组件库。自2017年开源以来,它一直受到广大开发者的青睐,提供了一整套UI基础组件和业务组件,帮助开发者快速搭建出风格统一的移动端页面,并显著提升开发效率。Vant不仅支持Vue 2和Vue 3版本,还提供了微信小程序版本,由社区团队维护React版本和支付宝小程序版本。
对于此次安全事件,有赞团队表示将进一步加强安全防范措施,确保类似问题不再发生。同时,他们也提醒广大开发者在使用开源组件库时,要注意关注官方公告,及时更新到最新版本,以确保应用的安全性。
有赞团队还建议开发者在使用npm等包管理工具时,要注意保护好自己的token等敏感信息,避免被不法分子利用。只有共同努力,才能构建一个更加安全、可靠的开源生态环境。
