近日，有赞开源的移动端Vue组件库Vant遭遇了一次安全事件，该事件由团队成员的npm token被盗用引发。12月19日，Vant的维护者在GitHub上发布了公告，紧急通报了这一情况，并指出多个版本因被注入恶意脚本代码而受到影响。

据维护者透露，此次安全问题的源头并非Vant本身存在漏洞，而是由于另一个GitHub组织中的GitHub Actions workflow存在Pwn Request漏洞。攻击者通过这一漏洞获得了workflow中的token，并利用该token的多组织贡献权限，进一步窃取了其他GitHub组织workflows中的token，最终成功获取了Vant与Rspack的npm token。

在发现安全问题后，官方迅速采取了行动，废弃了所有受影响的版本，并发布了最新的安全版本。维护者强调，目前所有相关的token和源头workflow漏洞都已经得到了处理，用户可以放心使用最新版本。

具体来说，官方紧急废弃了以下版本，并提醒用户切勿使用：4.9.14、4.9.13、4.9.12、4.9.11、3.6.15、3.6.14、3.6.13、2.13.5、2.13.4和2.13.3。同时，官方团队发布了新的安全版本，包括4.9.15、3.6.16和2.13.6，npm的latest tag也已经指向了这些新版本。

Vant是由有赞前端团队开发和维护的轻量级、可靠的移动端Vue组件库。自2017年开源以来，它一直受到广大开发者的青睐，提供了一整套UI基础组件和业务组件，帮助开发者快速搭建出风格统一的移动端页面，并显著提升开发效率。Vant不仅支持Vue 2和Vue 3版本，还提供了微信小程序版本，由社区团队维护React版本和支付宝小程序版本。

对于此次安全事件，有赞团队表示将进一步加强安全防范措施，确保类似问题不再发生。同时，他们也提醒广大开发者在使用开源组件库时，要注意关注官方公告，及时更新到最新版本，以确保应用的安全性。

有赞团队还建议开发者在使用npm等包管理工具时，要注意保护好自己的token等敏感信息，避免被不法分子利用。只有共同努力，才能构建一个更加安全、可靠的开源生态环境。