Pull to refresh

Деструктивные действия разработчика npm-пакета node-ipc привели к проблемам по всему миру

Reading time1 min
Views113K


По информации Linux.org.ru, деструктивные действия разработчика npm-пакета node-ipc привели к проблемам по всему миру.



Больше деталей и Timeline инцидента. Вся информация о зловреде, который был в его пакете, так как разработчик вычистил всю ветку.

Пояснение этой ситуации от пользователя Хабра:
Автор пакета node-ipc (используется в vue-cli, Unity, больше миллиона загрузок за неделю) запушил коммит с обфусцированным кодом, который удаляет все файлы с устройства, если этот код был запущен с российского или белорусского IP. node-ipc предназначен для межпроцессного взаимодействия.

Авторы vue-cli выпустили обновление, в котором зафиксировали зависимость от версии node-ipc без вредоносного кода. Unity Hub был также обновлён. Пакет был добавлен в чёрный список npmmirror.com.

В репозитории node-ipc сейчас происходит драма, автор удаляет комментарии, а пользователи GitHub ищут ПО, использующее этот пакет.
Разработчики после этого инцидента опубликовали предварительный перечень, чтобы избежать подобных неприятностей, под названием «Список малвари, шифровальщиков и прочего в open source проектах, опасных для использования».
Tags:
Hubs:
Total votes 101: ↑97 and ↓4+126
Comments354

Other news