Популярный npm-пакет удаляет и перезаписывает файлы в системах разработчиков из России и Беларуси
Разработчик популярного npm-пакета node-ipc выпустил обновлённые версии своей библиотеки и с их помощью решил выразить протест против происходящего в Украине. Обновление удаляет все данные и перезаписывает файлы на машинах разработчиков из России и Беларуси, а также создаёт текстовые файлы с призывами к миру.
Node-ipc загружают более 1 млн раз в неделю, это важный пакет, на который полагаются многие другие библиотеки, включая Vue.js CLI.
Изменённый код содержат версии пакета 10.1.1 и 10.1.2, которые теперь отслеживаются под идентификатором CVE-2022-23812.
Всё началось с того, что 8 марта разработчик Брэндон Нодзаки Миллер, известный под ником RIAEvangelist, опубликовал опенсорсные пакеты peacenotwar и oneday-test (как на npm, так и на GitHub). Судя по всему, эти пакеты были созданы как выражение протеста, поскольку они добавляют «призыв к миру» на рабочий стол любого установившего их пользователя.
Однако теперь обнаружилось, что некоторые версии известной библиотеки node-ipc, тоже поддерживаемой RIAEvangelist, содержат гораздо более разрушительные пейлоады, направленные на уничтожение всех данных и перезапись файлов своих пользователей.
Вредоносный код ориентируется на внешний IP-адрес и удаляет данные путем перезаписи файлов только для пользователей из России и Беларуси.
Читать на dev.by