著名的npm软件包删除文件以抗议乌克兰战争

这是一种蓄意破坏行为，流行的“node-ipc”NPM包背后的开发者发布了一个新的篡改版本来谴责俄罗斯入侵乌克兰，引发了人们对开源和软件供应链安全的担忧。

影响了库10.1.1和10.1.2版本，由其维护者RIAEvangelist所做的修改带来了不良行为，将IP地址定位在俄罗斯或白俄罗斯的用户，并删除任意文件内容，用心形表情替换它们。

node - IPC是一个重要的节点模块，用于本地和远程进程间通信(IPC)，支持Linux、macOS和Windows。每周下载量超过110万次。

Synk研究员Liran Tal在一份分析报告中说:“如果NPM软件包的地理位置与俄罗斯或白俄罗斯的地理位置相匹配，那么任何系统都将发生非常明显的滥用和关键的供应链安全事件。”

该问题的标识符为CVE-2022-23812，在CVSS漏洞评分系统上评分为9.8分(满分10分)。恶意代码更改是在3月7日发布的(版本10.1.1)，在10小时后的同一天进行了第二次更新(版本10.1.1)。

有趣的是，尽管10.1版库中删除了破坏性的修改。，一个重要的更新在不到四个小时后被推送(版本11.0.0)，这引入了另一个名为“和平战争”的依赖，也是由RIAEvangelist发布的，作为“对俄罗斯侵略的非暴力抗议”的一种形式。

“任何时候node-ipc模块功能被调用，它打印到STDOUT一个消息从peacenotwar模块，以及放置一个文件在用户的桌面目录的内容与俄罗斯和乌克兰的当前战争局势，”Tal解释说。

截止到2022年3月15日，node-ipc的最新版本- 11.1.0 -将“peacenotwar”包版本从9.1.3提升到9.1.5，并绑定了“colors”NPM库，同时也删除了STDOUT控制台消息。

值得注意的是，“colors”和另一个名为“faker”的包都是在今年1月早些时候被其开发者Marak Squires故意破坏的，他们在源代码中引入了无限循环，从而有效地破坏了其他依赖于这些库的应用程序。

据最先举报这一腐败行为的Bleeping Computer称，这些变化据称是报复行为，该开发商表示:“恕我直言，我将不再用我的免费作品来支持《财富》500强(以及其他较小规模的公司)。”

如果有什么区别的话，使用流行的模块作为“抗议软件”来部署破坏性的有效载荷和对供应链进行妥协的想法有可能破坏人们对开源软件的信任。

Tal说:“这起安全事件涉及一个维护者破坏磁盘上的文件的破坏性行为，他们试图隐藏和重申这种蓄意破坏的不同形式。”“尽管这是一场带有抗议动机的攻击，但它突显了软件供应链面临的一个更大问题:你代码中的传递依赖性可能会对你的安全产生巨大影响。”