Автор npm-модуля распространил вредоносный код создающий файл на рабочем столе

Создатель модуля node-ipc добавил как зависимость свой модуль peacenotwar, который создает файл.

Под удар также попался vue-cli

Код уже затронул Unity Hub и исполняется при его обновлении

snyk.io

Alert: peacenotwar module sabotages npm developers in the node-ipc package to protest the invasion of Ukraine | Snyk

github.com

GitHub - RIAEvangelist/peacenotwar

github.com

!!!!!!!!!!!! Please do something to warn USERS besides publishing new versions · Issue #7054 · vuejs/vue-cli

www.reddit.com

WITH-LOVE-FROM-AMERICA.txt appearing on your Desktop? Here's why...

Другие пользователи провели деобсуфикацию кода, и обнаружили, что пользователям из России/Беларуси с 25% шансом код также заменяет содержимое файлов компьютера на сердечки, на что автор отвечает, что он не может выполниться.