オープンソースのnpmパッケージ「node-ipc」にロシア在住の開発者を標的にした悪意のあるコードがメンテナーによって追加される

2022/03/22 14 users メンテナー ウェブアプリ ベラルーシ Snyk ウクライナ侵攻

オープンソースで開発される、ウェブアプリのUI構築用JavaScriptフレームワーク「Vue.js」のコードに、ロシアとベラルーシに在住する開発者を標的とした悪意のあるコードが追加されたと、開発者向けセキュリティプラットフォームのSnykが発表しました。メンテナーの1人がロシアのウクライナ侵攻に対する抗議行為として、... 続きを読む

警告 (CVE-2022-23812): ウクライナ侵攻の抗議目的で peacenotwar モジュールが node-ipc パッケージを通じて npm 開発者を妨害 - Qiita

2022/03/18 19 users Qiita npm サプラ ウクライナ侵攻 妨害

本記事は2022年3月16日に発表した弊社の英語ブログAlert: peacenotwar module sabotages npm developers in the node-ipc package to protest the invasion of Ukraineを日本語化した内容です。 2022年3月15日、人気の JavaScript フロントエンドフレームワーク Vue.js のユーザーは、npm のエコシステムに対するサプラ... 続きを読む

node-ipcに悪意あるコードが含まれている問題について

2022/03/17 26 users メンテナー コード npmパッケージ サプライチェーン攻撃

node-ipcというnpmパッケージに悪意あるコードが含まれていた問題についてのメモ書きです。 node-ipcのメンテナーによるサプライチェーン攻撃のコードが含まれたバージョンが公開されていた問題です。 問題のあるバージョン 9.2.2 unpublish済み Hidden functionality in node-ipc · GHSA-8gr3-2gjw-jj7g · GitHub Advis... 続きを読む