【个人开发者进行供应链投毒：只要主机ip地址来自俄罗斯】近日，不少开发者在使用到vue -cli中的node-ipc模块时，这个依赖项会在桌面以及其他位置创建一个叫做 “WITH-LOVE-FROM-AMERICA.txt”的文件，不过打开这个文件是空的。据悉，该package每周下载量达到了百万。另外，使用 Yarn 的开发者也受到了影响。开始有人以为只是个恶作剧，但事情并非如此简单。有开发者在对代码进行测试处理后发现，node-ipc 包的作者RIAEvangelist在投毒。他起初提交的是一段恶意攻击代码：如果主机的IP地址来自俄罗斯或白俄罗斯，该代码将对其文件进行攻击，将文件全部替换成 ❤。TC39代表、Web 开发工程师贺师俊分析称，源码经过压缩，并简单地将一些关键字符串进行了 base64 编码，目的是利用第三方服务探测用户IP，针对俄罗斯和白俄罗斯IP尝试覆盖当前目录、父目录和根目录的所有文件。虽然作者删除了该段代码，但贺师俊认为这仍然是一种恶劣的供应链投毒。OpenHarmony项目群工作委员会执行总监、中国科学院软件研究所高级工程师罗未也表示，开源软件供应链安全是一个及其严酷的议题，如果说log4j还能看做难以避免的工程误差，这件事就存在违法嫌疑。有开发者提供了该问题的解决方式：首先按照readme正常 install，构建结束后，用编辑器全局搜索'peacenotwar'，将其全部删除；然后在项目的 node_models 目录下，将'peacenotwar'目录删除；之后将'项目 /node_modules/node-ipc/node-ipc.js'这个文件中引用'peacenotwar'的代码注释掉，便可以正常启动项目。此外，Vue-cli 昨天发布了新版本5.0.2，将node-ipc版本锁定到v9.2.1，用户可以直接升级。据悉，受恶意代码受影响的 node-ipc 版本为 v10.1.3 ，已经被作者删除或被NPM撤下，而WITH-LOVE-FROM-AMERICA.txt 文件是由 v11.0.0 版本引入的。在此次事件中，有开发者认为 Vue 团队在发布新版本方面做得还不够，Vue 团队应该在官方网站上添加关于该事件的弹出窗口，弃用所有受感染的 vue-cli 包，为其添加一条消息。另外还可以在发布新版本时添加一些警告，以便用户看到警告并自动升级。