Lancern's Treasure Chest

node-ipc 是一个在 npm 每周约 100 万次下载的库，间接依赖此库的知名软件包括 Vue CLI 等。 这个库的 10.1.3 版本中以 "added ssl check" 的 commit message 添加了一份混淆过的代码 ssl-geospec.js [1]。这段代码会在被引用时检查主机的 IP，并在地理位置被标记为俄罗斯/白俄罗斯的设备上以 "❤️" 覆盖全盘所有文件。 包含 ssl-geospec.js 的版本目前已经被从 npm 移除，而 Vue CLI 锁定的 node-ipc…