周下载量百万的 node-ipc 包以反战为名进行供应链投毒


vue-cli 的依赖项 node-ipc 包正在以反战为名进行供应链投毒,该包在 npm 每周有上百万下载量。 知名技术网站 V2ex 的一条爆出了这个问题,用户  在使用 npm 构建前端项目时,启动项目后桌面自动创建了一个《 WITH-LOVE-FROM-AMERICA.txt 》文件,点开之后发现内容是空的。 simbaCheng 被吓一跳,以为自己电脑中毒了。在网友的热心帮助下,发现该 txt 文件是 vue-cli 的依赖项 的作者 RIAEvangelist 在投毒,该作者是个反战人士,还特意新建了一个 仓库来宣传他的反战理念。 然而网友继续深扒后,发现该作者还有更恶毒的投毒行为。如果说往用户桌面写 txt 文件属于激进的反战行为,那么知乎用户 所介绍的 的举动则是彻底的恶意攻击: 攻击源码在仓库中。源码经过压缩,简单地将一些关键字符串进行了 base64 编码。其行为是利用第三方服务探测用户 IP,针对俄罗斯和白俄罗斯 IP,会尝试覆盖当前目录、父目录和根目录的所有文件,把所有内容替换成 ❤。 注意:该作者清晰地知道自己在做什么,以及这些代码意味着什么,他在 issue 里明确指出了下游可以消除影响的变通方法。 但在提交了上面恶意攻击代码后,也许是意识到自己行为的严重性,该作者在半天后把该恶意攻击改成了“较和平”的“反战” TXT 文本,正如本文开头所描述的一般。但无论如何这仍然是一种恶劣的攻击行为,严重破坏了开源生态中的信任。(而且“美国和平反战”怎么有一股黑色幽默的味道...)。 后续:vue-cli 的仓库已有相关的  ,讨论 vue 该如何警示用户注意这个依赖性的问题。 在该 vue-cli  issue 中,RIAEvangelist 更是大方承认自己的恶意代码是针对俄罗斯和白俄罗斯用户? 随后 vue-cli 发布了,将 node-ipc 的版本锁定到 v9.2.1 附受影响项目的解决方式: 按照 readme 正常 install 构建结束后,用编辑器全局搜索'peacenotwar',将其全部删除 然后项目的node_models目录下,将'peacenotwar'目录删除 '项目/node_modules/node-ipc/node-ipc.js'这个文件中引用'peacenotwar'的代码注释掉 然后正常启动项目即可。

相關推薦

2023-02-07

定位到具体的ConfigMap或Secret 增加Pod annotation检测 增加供应链投毒检测 改进 更改了的rpm检测的方法 更改了containerd内核检测方法 upgrade命令更换为update vesta 收集了网上用量最多的包名字以及目前已知的恶意包名字,

2022-08-09

perbot-malware-targeting.html   情报订阅 OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户

2022-07-09

近日,checkmarx 研究人员公开了一起涉及众多包的 NPM 软件供应链攻击事件。 事件最早可以追溯到 2021年12月,攻击者投放了1200多个包含混淆加密的恶意 NPM,这些包含有相同的挖矿脚本 eazyminer,该脚本的目的是利用如 Database 和 W

2022-07-12

该要求将在未来几个月内生效。” 任何在过去 6 个月中下载量排名前 1% 的 PyPI 项目都被指定为关键项目。在该公告发布时,PyPI 上共有超过 350K 的项目,因此有超过 3500 个项目被指定为"关键";但这一数据每天都会进行刷新

2022-10-15

序言 距上次发版刚过一周时间,Furion 的下载量又增加了 80多万次,总项目安装量也近 370万,几乎各行各业的系统都使用上了 Furion。查看 Nuget 统计总安装量 每天睁眼闭眼手机都是 Furion 邮件提醒消息,两年来未曾停歇过,

2022-09-25

容🎉 支持低内存运行模式,实现低配内存服务器运行百万长连接。 增加对 DelimiterFrameDecoder 的入参校验。(感谢@乾坤摄 提交的PR ) 添加benchmark测试工具 Maven坐标🎈 <dependency> <groupId>org.smartboot.socket</groupId&

2024-10-21

,影响了广告部门的部分技术工作,实习生通过共享模型进行入侵的部分也不属于集团大模型。 此次事件暴露出字节跳动技术训练中存在的安全管理问题,包括权限隔离、共用代码的审计等。一位行业人士对记者表示,进行

2023-08-08

2023 年 8 月 1 日,Bytebase 迎来了又一个里程碑:下载量突破了 100 万次。🎉🧨🥁 距离 Bytebase 0.1.0 版发布已经过去了两年多。作为一个开源项目,Bytebase 的发展速度远超业界老牌数据库变更管理工具 Liquibase 和 Flyway。 作为

2022-12-10

以桌面应用为主的开源的Ubuntu桌面操作系统,为全球数百万的PC和笔记本电脑提供了生产力。 为方便用户选择合适的版本进行应用软件开发,我们发布了基于Ubuntu 64bit系统构建的Ubuntu16.04和Ubuntu18.04两个版本的 Ubuntu Desktop系统

2023-08-04

集性和用户输入的不可预测性,这种漏洞就会被放大。 供应链漏洞。LLM 应用程序生命周期可能会受到易受攻击的组件或服务的影响,从而导致安全攻击。使用第三方数据集、预训练的模型和插件会增加漏洞。 敏感信息泄露

2023-03-21

作组的数据表明,2023 年 2 月,Eclipse Temurin 二进制文件的下载量超过 1230 万次,为去年同期的两倍多。 “全球开源 Java 生态系统呈现重大发展势头。这种势头是在新的许可费结构被引入行业后出现的。在某些情况下,已经支付

2023-10-07

量的持续增长,其需求却未能与之同步。在过去两年中,下载量的增长率逐渐下降。2023 年的平均增长率为 33%,与 2021 年 73% 的增长率相比大幅下降。 与此同时,开源软件安全问题没有放缓的迹象。截至 2023 年 9 月,研究团队

2022-12-08

一股“神秘力量”使得知名前端框架 Vue 的周 npm 下载量激增十倍,以至于 Vue 创始人尤雨溪发推解释:“我也不知道谁搞出来的,请搞出这事的人赶紧修复吧,这样会搞得统计数据毫无意义。” 从 NPM Trends 页面上可以看到,

2024-05-28

技术,二是面向AI时代的新型数据底座。 奥林帕斯难题百万悬红设立两个奥林帕斯奖,每个难题方向各一个,如果某个难题方向大奖空缺,增设1-2个奥林帕斯先锋奖。奥林帕斯奖奖金为100万元人民币/个,奥林帕斯先锋奖奖金50