維基百科

peacenotwar

2022年恶意软件

peacenotwar是一種被歸類為抗議軟體(Protestware)的惡意軟體[1],由布蘭登·野崎·米勒英語Brandon Nozaki Miller編寫。2022年3月,該軟體作為依賴項被添加到常用的JavaScript依賴node-ipc中。

peacenotwar
分類抗議軟體(Protestware
子類型JavaScript負載
作者布蘭登·野崎·米勒英語Brandon Nozaki Miller
程式語言JavaScript

背景

2022年3月7日至8日,npm包登錄檔中node-ipc包的維護者布蘭登·野崎·米勒英語Brandon Nozaki Miller發布了兩個更新,據稱包含針對俄羅斯和白俄羅斯系統的惡意代碼(CVE-2022-23812),這些代碼會遞迴地用心形表情符號覆蓋使用者系統驅動器上的所有檔案[2][3][4][5][6]。一周後,米勒在node-ipc中添加了依賴項——peacenotwar模組和npm colors包[7]:前者會在受影響機器的桌面上建立名為WITH-LOVE-FROM-AMERICA.txt的文字文件,內容是抗議俄羅斯入侵烏克蘭的資訊;後者會導致使用它的伺服器發生阻斷服務攻擊[8][9]

影響

由於node-ipc是常用的軟體依賴,它影響了多個依賴於該包的其他專案。[10]

受影響的專案包括Vue.js,該專案需要node-ipc作為依賴,但未指定具體版本。如果某些Vue.js使用者從特定包中取得該依賴,可能會受到影響。Unity Hub 3.1也受到了影響,但在當天就發布了修補程式。[6][8]

參見

參考來源

  1. ^ Maffulli, Stefano. Open source 'protestware' harms Open Source. Open Source Initiative. 2022-03-24 [2024-06-09]. (原始內容存檔於2024-01-11) (英語). 
  2. ^ Dan Goodin. Sabotage: Code added to popular NPM package wiped files in Russia and Belarus. Ars Technica. 2022-03-18 [2024-06-09]. (原始內容存檔於2023-12-31) (英語). 
  3. ^ Cox, Joseph. Open Source Maintainer Sabotages Code to Wipe Russian, Belarusian Computers. Vice News. 2022-03-18 [2022-03-18]. (原始內容存檔於2022-03-18) (英語). 
  4. ^ Lucian Constantin. Developer sabotages own npm module prompting open-source supply chain security questions. Computer Security Online. 2022-03-19 [2024-03-16] (英語). 
  5. ^ Adam Bannister. NPM maintainer targets Russian users with data-wiping 'protestware'. The Daily Swig. 2022-03-21 [2024-03-16]. (原始內容存檔於2024-03-16) (英語). 
  6. ^ 6.0 6.1 Ax Sharma. BIG sabotage: Famous npm package deletes files to protest Ukraine war. Bleeping Computer英語Bleeping Computer. 2022-03-17 [2024-03-16]. (原始內容存檔於2022-03-17) (英語). 
  7. ^ Proven, Liam. JavaScript library updated to wipe files from Russian computers. The Register. Situation Publishing. 2022-03-18 [2022-03-18]. (原始內容存檔於2022-03-18) (英語). 
  8. ^ 8.0 8.1 Tal, Liran. Alert: peacenotwar module sabotages npm developers in the node-ipc package to protest the invasion of Ukraine. Snyk英語Snyk. 2022-03-16 [2022-03-18]. (原始內容存檔於2022-04-09) (英語). 
  9. ^ Tal, Liran; Ben Josef, Assaf. Open source maintainer pulls the plug on NPM packages colors and faker, now what?. Snyk英語Snyk. 2022-01-10 [2025-01-09]. (原始內容存檔於2025-01-04) (英語). 
  10. ^ Node-ipc-dependencies-list. GitHub. 2022-03-19 [2022-03-18]. (原始內容存檔於2022-04-16) (英語). 
取自「https://zh.wikipedia.org/w/index.php?title=Peacenotwar&oldid=85619193