近日,有贊開(kāi)源的移動(dòng)端Vue組件庫(kù)Vant遭遇了一次安全事件,該事件由團(tuán)隊(duì)成員的npm token被盜用引發(fā)。12月19日,Vant的維護(hù)者在GitHub上發(fā)布了公告,緊急通報(bào)了這一情況,并指出多個(gè)版本因被注入惡意腳本代碼而受到影響。
據(jù)維護(hù)者透露,此次安全問(wèn)題的源頭并非Vant本身存在漏洞,而是由于另一個(gè)GitHub組織中的GitHub Actions workflow存在Pwn Request漏洞。攻擊者通過(guò)這一漏洞獲得了workflow中的token,并利用該token的多組織貢獻(xiàn)權(quán)限,進(jìn)一步竊取了其他GitHub組織workflows中的token,最終成功獲取了Vant與Rspack的npm token。
在發(fā)現(xiàn)安全問(wèn)題后,官方迅速采取了行動(dòng),廢棄了所有受影響的版本,并發(fā)布了最新的安全版本。維護(hù)者強(qiáng)調(diào),目前所有相關(guān)的token和源頭workflow漏洞都已經(jīng)得到了處理,用戶可以放心使用最新版本。
具體來(lái)說(shuō),官方緊急廢棄了以下版本,并提醒用戶切勿使用:4.9.14、4.9.13、4.9.12、4.9.11、3.6.15、3.6.14、3.6.13、2.13.5、2.13.4和2.13.3。同時(shí),官方團(tuán)隊(duì)發(fā)布了新的安全版本,包括4.9.15、3.6.16和2.13.6,npm的latest tag也已經(jīng)指向了這些新版本。
Vant是由有贊前端團(tuán)隊(duì)開(kāi)發(fā)和維護(hù)的輕量級(jí)、可靠的移動(dòng)端Vue組件庫(kù)。自2017年開(kāi)源以來(lái),它一直受到廣大開(kāi)發(fā)者的青睞,提供了一整套UI基礎(chǔ)組件和業(yè)務(wù)組件,幫助開(kāi)發(fā)者快速搭建出風(fēng)格統(tǒng)一的移動(dòng)端頁(yè)面,并顯著提升開(kāi)發(fā)效率。Vant不僅支持Vue 2和Vue 3版本,還提供了微信小程序版本,由社區(qū)團(tuán)隊(duì)維護(hù)React版本和支付寶小程序版本。
對(duì)于此次安全事件,有贊團(tuán)隊(duì)表示將進(jìn)一步加強(qiáng)安全防范措施,確保類似問(wèn)題不再發(fā)生。同時(shí),他們也提醒廣大開(kāi)發(fā)者在使用開(kāi)源組件庫(kù)時(shí),要注意關(guān)注官方公告,及時(shí)更新到最新版本,以確保應(yīng)用的安全性。
有贊團(tuán)隊(duì)還建議開(kāi)發(fā)者在使用npm等包管理工具時(shí),要注意保護(hù)好自己的token等敏感信息,避免被不法分子利用。只有共同努力,才能構(gòu)建一個(gè)更加安全、可靠的開(kāi)源生態(tài)環(huán)境。
