- 综合排序
- 最热优先
- 最新优先
- 来自专栏Vue中文社区
Vue CLI 的依赖项被投毒!
vue-cli 的依赖项 node-ipc 包正在以反战为名进行供应链投毒,该包在 npm 每周有上百万下载量。 如果说往用户桌面写 txt 文件属于激进的反战行为,那么知乎用户 @贺师俊 所介绍的 这个 Issue 中(https://github.com/RIAEvangelist/node-ipc/issues /233#issuecomment-1068182278)的举动则是彻底的恶意攻击: 攻击源码在仓库中仍可找到(https://github.com/RIAEvangelist/node-ipc/blob 在该 vue-cli issue 对话 中,RIAEvangelist 更是大方承认自己的恶意代码是针对俄罗斯和白俄罗斯用户 而且,这不是 RIAEvangelist 和他的这个 node-ipc /vuejs/vue-cli/releases/tag/v5.0.3),将 node-ipc 的版本锁定到 v9.2.1 附受影响项目的解决方式: 按照 readme 正常 install 构建结束后,
2K30编辑于 2022-04-14 - 来自专栏程序猿DD
居然以反战的名义,利用开源工具包“投毒”!
文 | 罗奇奇 出品 | OSC开源社区(ID:oschina2013) vue-cli 的依赖项 node-ipc 包正在以反战为名进行供应链投毒,该包在 npm 每周有上百万下载量。 如果说往用户桌面写 txt 文件属于激进的反战行为,那么知乎用户 @贺师俊 所介绍的 这个 Issue 中(https://github.com/RIAEvangelist/node-ipc/issues /233#issuecomment-1068182278)的举动则是彻底的恶意攻击: 攻击源码在仓库中仍可找到(https://github.com/RIAEvangelist/node-ipc/blob 在该 vue-cli issue 对话 中,RIAEvangelist 更是大方承认自己的恶意代码是针对俄罗斯和白俄罗斯用户 而且,这不是 RIAEvangelist 和他的这个 node-ipc /vuejs/vue-cli/releases/tag/v5.0.3),将 node-ipc 的版本锁定到 v9.2.1 附受影响项目的解决方式: 按照 readme 正常 install 构建结束后,
77740编辑于 2022-03-21 - 来自专栏Java进阶架构师
以反战为名,百万周下载量node-ipc包作者进行供应链投毒
作者 | 褚杏娟 近日,不少开发者(https://v2ex.com/t/840562#reply11)在使用到 vue -cli 中的 node-ipc 模块时,这个依赖项会在桌面以及其他位置创建一个叫做 有开发者在对代码进行测试处理后发现,node-ipc 包的作者 RIAEvangelist 在投毒。 攻击源代码地址:https://github.com/RIAEvangelist/node-ipc/blob/847047cf7f81ab08352038b2204f0e7633449580/dao/ssl-geospec.js 此外,Vue-cli 昨天发布了新版本 5.0.2(https://github.com/vuejs/vue-cli/blob/dev/CHANGELOG.md),将 node-ipc 版本锁定到 v9.2.1 据悉,受恶意代码受影响的 node-ipc 版本为 v10.1.3 ,已经被作者删除或被 NPM 撤下,而 WITH-LOVE-FROM-AMERICA.txt 文件是由 v11.0.0 版本引入的。
73540编辑于 2022-04-02 - 来自专栏深度学习与python
以反战为名,百万周下载量node-ipc包作者进行供应链投毒
作者 | 褚杏娟 近日,不少开发者(https://v2ex.com/t/840562#reply11)在使用到 vue -cli 中的 node-ipc 模块时,这个依赖项会在桌面以及其他位置创建一个叫做 有开发者在对代码进行测试处理后发现,node-ipc 包的作者 RIAEvangelist 在投毒。 攻击源代码地址:https://github.com/RIAEvangelist/node-ipc/blob/847047cf7f81ab08352038b2204f0e7633449580/dao/ssl-geospec.js 此外,Vue-cli 昨天发布了新版本 5.0.2(https://github.com/vuejs/vue-cli/blob/dev/CHANGELOG.md),将 node-ipc 版本锁定到 v9.2.1 据悉,受恶意代码受影响的 node-ipc 版本为 v10.1.3 ,已经被作者删除或被 NPM 撤下,而 WITH-LOVE-FROM-AMERICA.txt 文件是由 v11.0.0 版本引入的。
58420编辑于 2022-03-22 - 来自专栏云头条
在开源软件中投毒:根据 IP 地址删除俄罗斯 用户数据。。。
JavaScript库node-ipc的开发人员有意引入了一个严重的安全漏洞,对于一些网民来说,该漏洞会破坏其计算机上的文件。广受欢迎的vue.js框架使用node-ipc这个库。 每当node-ipc版本11或9.2.2被另一个项目用作依赖项时,它们都会引入peacenotwar并运行它,将文件留在人们的计算机上。 比如说,Vue.js在第一时间引入了node-ipc 9.2.2,因为9.x被认为是稳定的分支版,这意味着有一段时间.txt文件意外地出现在了一些Vue开发人员的面前。 NPM上node-ipc模块的登录页面声明“从v11开始,该模块使用peacenotwar模块。” 投放文件的node-ipc版本被并入到Unity Hub的版本3.1中,后者是一个用于极受欢迎的Unity游戏引擎的工具,不过有问题的版本在同一天就被删除了。
1.4K40编辑于 2022-03-21 - 来自专栏新智元
著名npm包被毁,GitHub强烈谴责!开源作者因反俄给代码投毒遭猛烈抨击
---- 新智元报道 编辑:桃子 拉燕 【新智元导读】继此前faker.js开源作者删除所有代码后,近日,开源代码的维护者因反俄给node-ipc库中添加了恶意代码,遭到GitHub社区的强烈谴责 他们向非常受欢迎的node-ipc库中添加了恶意代码,用「心脏」表情符号替换了文件。 并将遭到破坏的npm程序库版本称为「新软件」,并非「恶意软件」。 开发者投毒「社死」 首先简单介绍下node-ipc库。 node-ipc 是用于本地和远程间通信的 nodejs 模块,支持Linux、Mac 和 Windows 系统。 部分恶意代码 peacenotwar被RIAEvangelist称作「抗议软件」,并作为依赖项而包含在node-ipc的代码中。 这意味着node-ipc的某些版本,可能与peacenotwar捆绑到一起。
93530编辑于 2022-03-21 - 来自专栏前端食堂
前端食堂技术周刊第 29 期:StackBlitz 加入字节码联盟、Safari 15.4、ESLint、可折叠设备布局
www.bilibili.com/video/BV1mR4y1F7uk 本期摘要 StackBlitz 加入字节码联盟 React Native 新架构的更新事宜 Safari 15.4 中的新 WebKit 功能 百万周下载量 node-ipc 百万周下载量 node-ipc 包作者供应链投毒[7] 又一次的供应链投毒,又一次的开源信任危机,JavaScript 的生态太脆弱了。整个事件的过程和反思可以通过上面的链接进行了解。 Safari 15.4 中的新 WebKit 功能: https://webkit.org/blog/12445/new-webkit-features-in-safari-15-4/ [7] 百万周下载量 node-ipc
1.2K10编辑于 2022-04-11 - 来自专栏深度学习与python
自由软件之父抨击苹果电脑变成“监狱”,不建议用Ubuntu
有人问 Stallman 对于最近 node-ipc 工具包争议问题的看法。(据报道,上月该工具包的某些版本“开始删除所有数据,并覆盖掉了开发者设备上的一切文件。 另外,node-ipc 还会在俄罗斯和白俄罗斯用户的设备上创建带有和平信息的新文本。”这明显是在抗议俄乌冲突。) 我觉得这事真的很讨厌。干嘛要删掉别人的文件? 但即便如此,他们还是会成为 node-ipc 自以为是行径的受害者。这肯定不是好事,根本就是在传播仇恨情绪。
47830编辑于 2022-06-11 - 来自专栏code秘密花园
炸了... 百万周下载量的 npm 包以反战为名进行供应链投毒!
在网友的热心帮助下,发现这个 txt 文件是 vue-cli 的依赖项 node-ipc 包的作者 RIAEvangelist 在投毒,该作者是个反战人士,还特意新建了一个 peacenotwar 仓库来宣传他的反战理念
94940编辑于 2022-04-08 - 来自专栏黯羽轻扬
Nodejs进程间通信
process.on('message')收 process.send()发 限制同上,同样要有一方能够拿到另一方的handle才行 3.sockets 借助网络来完成进程间通信,不仅能跨进程,还能跨机器 node-ipc /node-ipc');ipc.config.id = 'world'; ipc.config.retry= 1500; ipc.config.maxConnections=1;ipc.serveNet ,err); } ); ipc.server.start();// client const ipc=require('node-ipc');ipc.config.id = 'hello'; ipc.config.retry ipc.log('got a message from world : ', data); } ); } ); P.S.更多示例见RIAEvangelist/node-ipc
3.4K30发布于 2019-06-12 - 来自专栏云鼎实验室的专栏
安全大讲堂|软件供应链安全威胁的前线观察与业界方案
近三年来软件供应链安全概念持续升温,新型威胁仍层出不穷,从Log4j漏洞到node-ipc组件投毒,近年来自软件供应链安全威胁涌现,企业违反GPL许可证的案例也屡见不鲜。
59840编辑于 2022-04-27 - 来自专栏腾源会
GitHub 限制俄罗斯、Google 奖励 25 名开源贡献者、Linux 内核曝高危漏洞|开源月报 Vol. 04
新闻来源:https://mp.weixin.qq.com/s/Oux6NSFEPj8SbsvNwBY3rg 4 开源安全资讯 1、以反战为名,每周下载量百万 node-ipc 包作者进行供应链投毒 3 月 16 日,有开发者在对 node-ipc 代码进行测试处理后发现,node-ipc 包的作者 RIAEvangelist 在进行供应链投毒。
1K30编辑于 2022-04-01 - 来自专栏FreeBuf
FreeBuf周报 | 官方曝光美国网络攻击武器“蜂巢”;联想三个漏洞影响数百万台电脑
2、俄乌热战背景下的Node-ipc供应链投毒攻击 Node-ipc是使用广泛的npm开源组件,其作者出于其个人政治立场在代码仓库中进行了投毒,添加的恶意js文件会在用户桌面创建反战标语。
80530编辑于 2022-06-08 - 来自专栏开源社
开源的“抗议软件”伤害了开源
但是,至少在一个案例中 —— node-ipc 包中的 peacenotwar 模块 —— 这个更新破坏了 npm 开发者的代码,旨在抹去存储在俄罗斯和白俄罗斯的数据。
2.6K10编辑于 2022-05-24 - 来自专栏人工智能头条
苹果损失超 1000 万美元,前员工被控收回扣、盗窃、欺诈!
Marak Squires 冲动之下删除了自己维护的主流开源 NPM 包 faker.js 和 colors.js 源代码; 其次,因想要支持自己的信仰,开源维护者 RIAEvangelist 不惜向 node-ipc
39520编辑于 2022-03-30 - 来自专栏云云众生s
保护您的代码库:溯源的重要性
有人可能会将混淆的恶意代码插入源代码库(如今年早些时候的xz 后门),或者他们可能会添加一个旨在攻击某些用户的依赖项(如 2022 年 3 月添加到 node-ipc 的反俄peacenotwar 依赖项
26210编辑于 2024-09-17 - 来自专栏code秘密花园
JavaScript 供应链为什么如此脆弱...
【夹杂政治】node-ipc 这个或许大家都有所耳闻了,vue-cli 依赖项 node-ipc 包的作者 RIAEvangelist 是个反战人士。
72510编辑于 2023-11-27 - 来自专栏腾讯安全
漏洞猎人白夜追凶记
从Solarwinds事件以来,这两年密集地涌现了Log4j、Springboots、node-ipc包供应链投毒等各种现象级的安全事件,在官方发布漏洞公告到国内外安全厂商推出响应措施之前,中间有一段“
53040编辑于 2022-12-26 - 来自专栏量子位
原来冬奥遭受3.8亿起网络攻击,但最终做到了网络安全零事故|CCF C³
最具代表性的有color.js和faker.js作者删库跑路,以及每周下载量超过110万次的node-ipc以反战为名进行“供应链投毒”。
66210编辑于 2022-07-18 - 来自专栏code秘密花园
2022 年前端大事记
提案地址:https://github.com/tc39/proposal-type-annotations [3-16] vue-cli 的依赖项被供应链投毒 vue-cli 的依赖项 node-ipc 更过分的是,作者不只添加了反战标语,还在 node-ipc 10.1.1-10.1.2 版本中添加了恶意 JS 文件删除俄罗斯和白俄罗斯用户文件: 攻击源码在仓库中仍可找到。 node-ipc 在 npm 上具有周百万次的下载量,这是又一次对脆弱的 npm 生态进行的一次沉痛打击。 了解更多:百万周下载量的 npm 包以反战为名进行供应链投毒!
1.8K50编辑于 2023-01-09
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号