Peacenotwar

peacenotwar
分類抗议软件(Protestware
子類型JavaScript负载
作者布兰登·野崎·米勒
程式語言JavaScript

peacenotwar是一种被归类为抗议软件(Protestware)的恶意软件[1],由布兰登·野崎·米勒编写。2022年3月,该软件作为依赖项被添加到常用的JavaScript依赖node-ipc中。

背景

2022年3月7日至8日,npm包注册表中node-ipc包的维护者布兰登·野崎·米勒发布了两个更新,据称包含针对俄罗斯和白俄罗斯系统的恶意代码(CVE-2022-23812),这些代码会递归地用心形表情符号覆盖用户系统驱动器上的所有文件[2][3][4][5][6]。一周后,米勒在node-ipc中添加了依赖项——peacenotwar模块和npm colors包[7]:前者会在受影响机器的桌面上创建名为WITH-LOVE-FROM-AMERICA.txt的文本文档,内容是抗议俄罗斯入侵乌克兰的信息;后者会导致使用它的服务器发生拒绝服务攻击[8][9]

影响

由于node-ipc是常用的软件依赖,它影响了多个依赖于该包的其他项目。[10]

受影响的项目包括Vue.js,该项目需要node-ipc作为依赖,但未指定具体版本。如果某些Vue.js用户从特定包中获取该依赖,可能会受到影响。Unity Hub 3.1也受到了影响,但在当天就发布了补丁。[6][8]

参见

参考来源

  1. ^ Maffulli, Stefano. Open source 'protestware' harms Open Source. Open Source Initiative. 2022-03-24 [2024-06-09]. (原始内容存档于2024-01-11) (英语). 
  2. ^ Dan Goodin. Sabotage: Code added to popular NPM package wiped files in Russia and Belarus. Ars Technica. 2022-03-18 [2024-06-09]. (原始内容存档于2023-12-31) (英语). 
  3. ^ Cox, Joseph. Open Source Maintainer Sabotages Code to Wipe Russian, Belarusian Computers. Vice News. 2022-03-18 [2022-03-18]. (原始内容存档于2022-03-18) (英语). 
  4. ^ Lucian Constantin. Developer sabotages own npm module prompting open-source supply chain security questions. Computer Security Online. 2022-03-19 [2024-03-16] (英语). 
  5. ^ Adam Bannister. NPM maintainer targets Russian users with data-wiping 'protestware'. The Daily Swig. 2022-03-21 [2024-03-16]. (原始内容存档于2024-03-16) (英语). 
  6. ^ 6.0 6.1 Ax Sharma. BIG sabotage: Famous npm package deletes files to protest Ukraine war. Bleeping Computer英语Bleeping Computer. 2022-03-17 [2024-03-16]. (原始内容存档于2022-03-17) (英语). 
  7. ^ Proven, Liam. JavaScript library updated to wipe files from Russian computers. The Register. Situation Publishing. 2022-03-18 [2022-03-18]. (原始内容存档于2022-03-18) (英语). 
  8. ^ 8.0 8.1 Tal, Liran. Alert: peacenotwar module sabotages npm developers in the node-ipc package to protest the invasion of Ukraine. Snyk英语Snyk. 2022-03-16 [2022-03-18]. (原始内容存档于2022-04-09) (英语). 
  9. ^ Tal, Liran; Ben Josef, Assaf. Open source maintainer pulls the plug on NPM packages colors and faker, now what?. Snyk英语Snyk. 2022-01-10 [2025-01-09]. (原始内容存档于2025-01-04) (英语). 
  10. ^ Node-ipc-dependencies-list. GitHub. 2022-03-19 [2022-03-18]. (原始内容存档于2022-04-16) (英语).