有赞开源Vue组件库Vant遭恶意代码注入:已废弃异常版本、发布安全新版本
IT之家 12 月 21 日消息,有赞开源组件库 Vant 维护者于 12 月 19 日在 GitHub 发布公告,表示由于其中一位团队成员的 npm token 被盗用, 并注入了恶意脚本代码,官方紧急废弃了多个受影响版本,发布了最新版本。
导致问题原因
维护者表示:
源头是某个 GitHub Actions workflow 存在 Pwn Request 漏洞,位于另一个 GitHub 组织。Vant 和 Rspack 所在的组织以及维护者是被间接攻击的,本身不存在漏洞。
攻击者拿到了该 workflow 中的 token 后,利用该 token 具有的多组织贡献权限,直接 push 代码继续窃取其他 GitHub 组织 workflows 中的 token,最终拿到 Vant 与 Rspack 的 npm token。
目前相关 token 和源头 workflow 漏洞已经全部处理。
最新版本
官方目前紧急废弃了以下异常版本,请勿使用:
4.9.14
4.9.13
4.9.12
4.9.11
3.6.15
3.6.14
3.6.13
2.13.5
2.13.4
2.13.3
官方团队发布了安全的新版本,npm latest tag 已经指向新版本:
4.9.15
3.6.16
2.13.6
有赞开源组件库 Vant 简介
IT之家查询公开资料,Vant 是由有赞前端团队开发和维护的轻量、可靠的移动端 Vue 组件库,提供了一整套 UI 基础组件和业务组件,主要帮助开发者快速搭建出风格统一的移动端页面,并提升开发效率。
该组件于 2017 年开源,官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本,并由社区团队维护 React 版本和支付宝小程序版本。
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
“垃圾外卖”背后推手:批量复制门店,加盟狂揽2000万
手机应用偷听用户投放广告,有哪些法律问题?
裁员风波背后,海康威视的触顶挑战
被吹捧的“人类终极能源” 为何没人提了
理想汽车人事变动!李想直接管销售服务业务,马东辉接替沈亚楠任总裁
Lululemon Q3营收同比增长28% Q4指引不及预期
好市多 Q1营收不及预期 净销售额同比增8%
排面拉满!《黑神话:悟空》和冯骥登上央视《新闻联播》
SEC建议:美国公司应向投资者披露对加密资产市场的风险敞口
苹果为国行iPhone找AI服务商 为何没百度:跟极越车主举报有吗
三星电子第三季度晶圆代工全球市占率15.5%
一图看懂蔚来、小鹏、理想汽车2022年第三季度财报
今日冬至:日短之至 数九寒天
小米YU7实车露出,若售价在30万左右,相信我,又是爆款
小米SU7滚坠山崖 一家四口安然无恙!车主首发声:感谢雷军、小米
女子8年前交了5万定金买宝马:结果现在才想起 还能继续提车
为什么大家不爱穿大衣了?
丰田凯美瑞光辉版即将上市,哑光灰车漆+黑化车标,配2.0升混动系统
买到就是赚!余承东:每卖一辆智界R7最高亏3万 销量增长上去成本就下来了
直接打骨折 曝宝马百万旗舰纯电SUV iX大降价:最低仅30多万
阿尔特曼暗示 OpenAI 明日发布 o3,新一代 AI 推理王者模型
今日冬至:日短之至 数九寒天
迪拜斥资56亿美元建地铁:中国中车与土耳其两公司联合中标