node-ipc 是一个在 npm 每周约 100 万次下载的库,间接依赖此库的知名软件包括 Vue CLI 等。
这个库的 10.1.3 版本中以 "added ssl check" 的 commit message 添加了一份混淆过的代码
包含 ssl-geospec.js 的版本目前已经被从 npm 移除,而 Vue CLI 锁定的 node-ipc 版本 (9.2.1) [2] 亦不在受影响范围内。
另外,较新版本(11.0.0 起)的 node-ipc 会包含同一作者发布的名为 peacenotwar 的模块,此(相对无害的)模块会在用户的桌面等几个目录新建一个包含反战宣传 [3] 的文本文件。
作者删除了相关 issue 下一些指出问题的评论。
https://github.com/RIAEvangelist/node-ipc/issues/233
1. gh:RIAEvangelist/node-ipc@847047cf
2. gh:vuejs/vue-cli@dd53f26b/yarn.lock#L14922
3. gh:RIAEvangelist/peacenotwar/WITH-LOVE-FROM-AMERICA.txt
linksrc: https://t.me/laoself/5007
#OpenSource #Ecosystem #SupplyChain #Politics
这个库的 10.1.3 版本中以 "added ssl check" 的 commit message 添加了一份混淆过的代码
ssl-geospec.js [1]。这段代码会在被引用时检查主机的 IP,并在地理位置被标记为俄罗斯/白俄罗斯的设备上以 "❤️" 覆盖全盘所有文件。包含 ssl-geospec.js 的版本目前已经被从 npm 移除,而 Vue CLI 锁定的 node-ipc 版本 (9.2.1) [2] 亦不在受影响范围内。
另外,较新版本(11.0.0 起)的 node-ipc 会包含同一作者发布的名为 peacenotwar 的模块,此(相对无害的)模块会在用户的桌面等几个目录新建一个包含反战宣传 [3] 的文本文件。
作者删除了相关 issue 下一些指出问题的评论。
https://github.com/RIAEvangelist/node-ipc/issues/233
1. gh:RIAEvangelist/node-ipc@847047cf
2. gh:vuejs/vue-cli@dd53f26b/yarn.lock#L14922
3. gh:RIAEvangelist/peacenotwar/WITH-LOVE-FROM-AMERICA.txt
linksrc: https://t.me/laoself/5007
#OpenSource #Ecosystem #SupplyChain #Politics
