如何看待node-ipc作者往开源代码投毒

近日,有开发者在使用npm包进行前端构建时发现桌面会莫名多出一个[WITH-LOVE-FROM-AMERICA.txt]文件夹,打开里面空空如也

后来经摸查才发现,node-ipc作者在库里面添加了一个peacenotwar 模块,该模块代码如下:

运行后会在用户电脑上自动生成一个[WITH_LOVE_FROM_AMERICA]的文件。

其行为是,利用第三方服务探测用户IP,针对俄罗斯和白俄罗斯IP,会尝试覆盖当前目录、父目录和根目录的所有文件,并且转改文件内容为“❤”。

屏幕截图2022-03-16 11 27 16

屏幕截图2022-03-16 11 30 42

实际上,vue-cli间接应用了node-ipc,但 vue-cli 依赖的 node-ipc 版本是 "^9.1.1",被投毒的版本是 9.2.2,所以有些项目受到影响。如果你的项目是在 3 月 15 日 13:40:26 和当天 21:17:57 两个时间点间创建的,或者是在这个时间更新过 npm 依赖的,那么你就中毒了。

另外,其维护者也已经将 node-ipc 的版本锁死为 9.2.1(中毒前的最后一个版本)。

如果你正在使用Node.js依赖,大家可以把版本号锁死,即把 "^9.1.1" 改为 "9.1.1",以防代码被投毒。

原文链接:https://bbs.csdn.net/topics/605306351

更多内容