По информации Linux.org.ru, деструктивные действия разработчика npm-пакета node-ipc привели к проблемам по всему миру.
Больше деталей и Timeline инцидента. Вся информация о зловреде, который был в его пакете, так как разработчик вычистил всю ветку.
Пояснение этой ситуации от пользователя Хабра:
Автор пакета node-ipc (используется в vue-cli, Unity, больше миллиона загрузок за неделю) запушил коммит с обфусцированным кодом, который удаляет все файлы с устройства, если этот код был запущен с российского или белорусского IP. node-ipc предназначен для межпроцессного взаимодействия.Разработчики после этого инцидента опубликовали предварительный перечень, чтобы избежать подобных неприятностей, под названием «Список малвари, шифровальщиков и прочего в open source проектах, опасных для использования».
Авторы vue-cli выпустили обновление, в котором зафиксировали зависимость от версии node-ipc без вредоносного кода. Unity Hub был также обновлён. Пакет был добавлен в чёрный список npmmirror.com.
В репозитории node-ipc сейчас происходит драма, автор удаляет комментарии, а пользователи GitHub ищут ПО, использующее этот пакет.
