BigZabivan

Разработчик популярного npm-пакета node-ipc добавил в проект код, который совершает запросы на удаленный сервер и при совпадении IP-адреса с Российским или Белорусским перезаписывает содержимое всех файлов на жестком диске на эмоджи-сердечко (♥).

Пакет node-ipc стоит в зависимости более чем у 300 других не менее популярных проектов, в том числе из экосистемы Vue.js (vue/cli)

Незадолго до этого тот же самый разработчик добавил в реестр npm модуль peacenotwar, который выводил в консоль сообщение со словами [данные удалены] и создает в нескольких поддериктория домашнего каталога файл WITH-LOVE-FROM-AMERICA.txt с содержимом на множестве языков мира.

Пакет peacenotwar так же был включен в зависимости для node-ipc

Вредоносный код, затирающий файлы, был добавлен в пакет node-ipc 7 марта в версии 10.1.1

Несмотря на то, что спустя некоторое время пакет был помечен как deprecated, его успели скачать несколько тысяч раз.

На данный момент текущая версия пакета 11.1.0 больше не содержит вредоносный код, затирающий файлы сердечком, но все еще содержит в зависимостях модуль peacenotwar, который больше не выводит сообщения в консоль, но создает файлы WITH-LOVE-FROM-AMERICA.txt в домашнем каталоге.

Подробности об уязвимости: https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370

Текст взят с https://www.linux.org.ru/forum/security/16819987?cid=1681999...