Автор npm-модуля распространил вредоносный код создающий файл на рабочем столе
Создатель модуля node-ipc добавил как зависимость свой модуль peacenotwar, который создает файл.
Под удар также попался vue-cli
Код уже затронул Unity Hub и исполняется при его обновлении
Другие пользователи провели деобсуфикацию кода, и обнаружили, что пользователям из России/Беларуси с 25% шансом код также заменяет содержимое файлов компьютера на сердечки, на что автор отвечает, что он не может выполниться.
заменяет содержимое файлов компьютера на сердечки, что отрицает автор самого модуля.Автор не отрицает данное поведение, он лишь пытается оправдать это тем, что это вредит только людям с айпи из РФ и РБ и этот кейс не может выполниться, так как, чтобы это произошло, должен стоять правильный API key. Его можно поменять когда угодно. Т.е. он закладывает возможность атаки в любой момент, но сам типа этого не делает. Автор себя очень сильно дискредитировал и есть предложения сделать форк его репы и не иметь с ним больше дел.
Сужу вот по этому issue в vue-cli: https://github.com/vuejs/vue-cli/issues/7054
Судя по всему не только предлагают, но и по факту не хотят больше работать с этой либой.
Комментарий недоступен
единственное, где у меня используется похожее из модулей это Notion на десктопе. Закрыл на всякий случай) Я не в россии, но вдруг он криворукий)
Комментарий недоступен
Нет покоя ебанутым
В статье не хватает информации, что он удалял комменты, которые сообщали о проблеме. А когда таки поймали за жопу, то получилась сцена из южного парка "выходи из шкафа - а я не в шкафу". Чел просто тыкает пальцем в белое и говорит что это чёрное.
Ну и конечно же нашлись cock holes, которым такое по нраву. Но тут удивляться не приходится.