Внимание, если в ваших проектах используется каким либо образом node-ipc (например через работу с vuejs), но немедленно откатитесь к предыдущим версиям\не обновляйтесь. Это приведёт к вредоносным действиям с вашими файлами и системой. Остерегайтесь использования npm загрузчика
Вероятнее всего проблема уже исправлена к текущему моменту, но тем не менее лучше разместить предостережение.
А теперь к сути. Приведу частичный перевод одной из статей.
Внимание: peacenotwar модуль саботирует npm разработчиков в node-ipc пакете для протестов против вторжения на Украину.
15 марта 2022 года пользователи популярного фреймворка Vue.js, начали сталкиваться с тем, что можно описать только как атаку цепи поставок, влияющую на экосистему npm. Это было результатом вложенных зависимостей node-ipc и peacenotwar с целью саботажа в знак протеста со стороны разработчика пакета node-ipc.
Этот инцидент безопасности связан с вредоносными действиями по повреждению файлов одним разработчиком и его попытками скрыть и переформулировать этот преднамеренный саботаж в различных формах. Хоть эта атака и сделана с целью протеста, она выдвигает на первый план более серьезную проблему, стоящую перед цепочкой поставок программного обеспечения: транзитивные зависимости в вашем коде могут иметь огромное влияние на вашу безопасность.
Итак, в чем же здесь суть? В том, что разработчик (@RIAEvangelist) популярного опенсорс решения решил в знак протеста поднасрать всем русским разработчикам использующим vuejs. При запуске вредоносного кода весь рабочий файл (или проект, я не до конца понял) будет перезаписан при помощи эмоджи ❤️, а на рабочем столе появится файл WITH-LOVE-FROM-AMERICA.txt.
Все комментарии в его репозиториях связанные с вредоносным кодом удалялись немедленно.
Здесь есть история этого обсуждения.
Под атакой к тому же оказались пользователи Unity. При обновлении UnityHub до последней версии установка сопровождается появлением того самого файла на рабочем столе. Разработчики обещают пофиксить проблему и закрыть уязвимость в ближайшее время.
Эта уязвимость доказывает в очередной раз, что "opensource" решения таковыми не являются и разработчики вполне себе могут оставить десятки бекдоров для того, что бы украсть данные\испортить вашу работу и тд.
похожий пост Модуль Peacenotwar саботирует разработчиков npm в пакете node-ipc (vue-cli) в знак протеста против вторжения в Украину