Шифровальщик в популярном пакете

Шифровальщик в популярном пакете

7 марта в пакет node-ipc был добавлен код, который для пользователей из России и Беларуси заменяет содержимое файлов на сердечки. Проще говоря, после установки свежих пакетов, компьютер превращался в тыкву.

8 марта в обновлении node-ipc вредоносный код был удален и заменен на пакет peacenotwar, который отображает призывы к миру, а версии с вредоносным кодом заблокированы в npm.

15 марта многие разработчики на Vue.js заметили манифест от peacenotwar в консоли. Это произошло потому что vue/cli зависит от node-ipc.

Подытожим. На текущий момент ни node-ipc, ни vue/cli последних версий не несут опасности, но имеют в себе дополнительный эффект, который не относится к основным функциям продукта.

Однако, это важный прецедент, который показывает что даже самые популярные библиотеки с обновлением могут принести не только проблемы совместимости, но и потерю данных на локальной машине или сервере.

Чтобы уменьшить риски потери данных и столкновения с вредоносным кодом имеет смысл зафиксировать зависимости и, при необходимости, обновлять их вручную. О конкретных действиях я писал в предыдущем посте.

Полезные ссылки: Статья про peacenotwar Список продуктов и библиотек, на которые стоит обратить внимание. Обсуждение в репозитории vue-cli

@frontend_batya