知名开源项目被植入针对俄罗斯计算机的恶意代码
3 月 18 日,周下载量达百万量级的开源项目「node-ipc」被发现加入恶意代码,在位于俄罗斯和白俄罗斯的计算机上运行时,将会主动用心形表情符号覆盖计算机上的数据。起到这种攻击效果的是一个称为「peacenotwar」的模块,由 node-ipc 的开发者 RIAEvangelist 于近日开发、并植入 node-ipc 的部分版本中,其描述文件宣称是这对俄罗斯的「非暴力抗议」。
该情况曝光后,大量用户在 node-ipc 的 GitHub 页面表达了批评。一些专家认为,这种「供应链投毒」无论动机如何,都严重破坏了开源生态中的信任。另一些观点认为,这一事件再次暴露了 Node.js 生态的脆弱。依赖于该项目的其他一些开源项目亦作出响应,将 node-ipc 锁定在未被植入上述代码的早期版本以避免受到影响。
