受欢迎的NPM包更新以清除俄罗斯、白俄罗斯系统，以抗议乌克兰入侵

在另一次破坏行动中，流行的“node ipc”NPM软件包背后的开发者发布了一个新版本，以抗议俄罗斯入侵乌克兰，引发了对开源和软件供应链安全的担忧。

这些变化影响了该库的10.1.1和10.1.2版本，导致其维护者RIAEvangelist出现不良行为，将IP地址位于俄罗斯或白俄罗斯的用户作为目标，删除任意文件内容，并将其替换为心形表情符号。

Node ipc是一个重要的节点模块，用于本地和远程进程间通信，支持Linux、macOS和Windows。它每周的下载量超过110万次。

Synk研究人员Liran Tal在一份分析报告中说：“如果这套NPM软件包与俄罗斯或白俄罗斯的地理位置相匹配，任何系统都会发生非常明显的滥用和严重的供应链安全事件。”。

该问题已被指定为标识符CVE-2022-23812，在CVSS漏洞评分系统中，该问题的评分为10分之9.8。恶意代码更改于3月7日发布（版本10.1.1），第二次更新发生在当天10小时后（版本10.1.1）。

有趣的是，尽管10.1.3版的破坏性有效载荷已从库中移除，但在不到四个小时（11.0.0版）后，一个主要的更新被推了出来，它引入了另一个名为“和平之战”的依赖项，该依赖项也是由Riageridist以“非暴力抗议俄罗斯侵略”的形式发布的

Tal解释说：“每当调用节点ipc模块功能时，它都会向STDOUT打印一条从peacenotwar模块中取出的消息，并在用户的桌面目录中放置一个文件，其中包含与俄罗斯和乌克兰当前战时局势有关的内容。”。

截至2022年3月15日，最新版本的节点ipc–；11.1.0 – 将“peacenotwar”包版本从9.1.3升级到9.1.5，并捆绑“Color”NPM库，同时删除标准输出控制台消息。

值得注意的是，“颜色”以及另一个名为“faker”的软件包都是在今年1月初被其开发人员Marak Squires故意破坏的，他们在源代码中引入了无限循环，有效地破坏了依赖这些库的其他应用程序。

据最先报告腐败的布莱平电脑公司称，这些改变据说是报复性的，开发商指出，“恕我直言，我不再用我的免费工作支持《财富》500强（以及其他规模较小的公司）。”

如果说有什么区别的话，使用流行的模块作为“抗议软件”来部署破坏性的有效载荷，并在供应链上达成妥协的想法可能会破坏对开源软件的信任。

“这起安全事件涉及一名维护人员破坏磁盘上文件的破坏性行为，以及他们试图以不同形式隐藏和重申蓄意破坏行为，”塔尔说。“虽然这是一次带有抗议动机的攻击，但它突显了软件供应链面临的一个更大的问题：代码中的可传递依赖关系可能会对您的安全产生巨大影响。”