vue-cli 的依赖项 node-ipc 包正以反战的名义投毒供应链。npm 每周下载数百万。
知名技术网站 V2ex 的一篇帖子揭示了这个问题,用户 simbaCheng 在使用 npm 建设前端项目时,启动项目后桌面自动创建了 WITH-LOVE-FROM-AMERICA.txt 文件,点击后发现内容是空的。
simbaCheng 吓了一跳,以为电脑中毒了。在网友的热情帮助下,发现 txt 文件是 vue-cli 依赖项 node-ipc 包的作者 RIAEvangelist 在投毒,该作者是个反战人士,还特意新建了一个 peacenotwar 仓库宣传他的反战理念。
然而,在网民继续深入挖掘后,他们发现作者仍然有更恶毒的投毒行为。如果用户桌面上写着 txt 文件是激进的反战行为,所以知乎用户 @ 这个 介绍的 这个 Issue 中的举动是彻底的恶意攻击:
攻击源代码仍然可以在仓库中找到。压缩后,源代码简单地对一些关键字符串进行了 base64 编码IP,针对俄罗斯和白俄罗斯IP,尝试覆盖当前目录、父目录和根目录的所有文件,用 替换所有内容。
但在提交上述恶意攻击代码后,作者可能意识到自己行为的严重性,半天后将恶意攻击改为更和平的反战 TXT 文本,正如本文开头所描述的。但无论如何,这仍然是一种不良的攻击行为,严重破坏了开源生态的信任。其最坏的后果是带来强大的代码审计。主要的代码托管平台将审查代码注释和变量常量命名。
注意:作者清楚地知道他在做什么,这些代码意味着什么,他在 issue 中明确指出了下游可以消除影响的灵活性。vue-cli issue 在对话 中,RIAEvangelist 慷慨地承认,他的恶意代码是针对俄罗斯和白俄罗斯用户的
而且,这不是 RIAEvangelist 还有他的 node-ipc 包首次引起争议,早在2020年 node-ipc 因为它的奇怪don't be a dick许可证引起争议,尤雨溪也出面回应:
后续:
- vue-cli 发布新版本, node-ipc 的版本锁定在 v9.2.1
附属影响项目的解决方案:
- 按照 readme 正常 install
- 构建结束后,用编辑器进行全局搜索peacenotwar全部删除
- 然后项目的node_models在目录下,‘将’peacenotwar'目录删除
- '项目/node_modules/node-ipc/node-ipc.js在这个文件中引用peacenotwar'的代码注释掉
- 然后正常启动项目。