2024-12-19日，知名 VUE 组件库 Vant 因开发者 token 被盗用，导致代码中被攻击者植入恶意代码，当用户安装时会下载并运行挖矿程序。

事件详情

参考：https://github.com/youzan/vant/discussions/13273

截至发文时，官方已发布安全的新版本，npm latest tag 已经指向新版本：

请各位开发者尽快更新至官方最新版本，避免可能带来的损失。

附：攻击及修复时间线，便于开发者查询是否受影响。