Vant 是一个轻量、可定制的移动端组件库，于 2017 年开源。
目前 Vant 官方提供了 Vue 2 版本、Vue 3 版本和微信小程序版本，并由社区团队维护 React 版本和支付宝小程序版本。
Vant 2 版本：https://vant-ui.github.io/vant/v2/#/zh-CN/home
Vant 3 版本：https://vant-ui.github.io/vant/v3/#/zh-CN/home
Vant 4 版本：https://vant-ui.github.io/vant/#/zh-CN/home

漏洞描述：

由于开发者团队成员的 npm token被窃取，攻击者向 Vant 组件植入挖矿代码，当用户安装投毒版本时会下载并执行挖矿程序xmrig(钱包地址：475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j)，并窃取用户云服务凭据( /.aliyun/config.json、/.hcloud/config.json 以及 ~/.tccli/default.credential文件)并发送到攻击者可控的服务器地址。

影响范围：

2.13.3 <= npm版本 <= 2.13.5
3.6.13 <= npm版本 <= 3.6.15
4.9.11 <= npm版本 <= 4.9.14

修复建议：

开发者团队当前已弃用上述版本，如使用过上述版本的请进行自检

参考链接：

https://github.com/youzan/vant/issues/13275
https://github.com/youzan/vant/discussions/13273