在开源软件中投毒，NPM包根据IP地址擦除俄罗斯用户的数据

最近的网络安全研究发现，流行的NPM软件包 node-ipc 发布了新版本，开发人员在其中将判断是否为俄罗斯IP地址，如果是则删除任意文件内容并用心形表情符号替换，以此谴责俄罗斯入侵乌克兰，该事件再次引发了对开源软件供应链安全的担忧。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，Node-ipc 用于本地和远程进程间通信 ( IPC )，支持 Linux、macOS 和 Windows，每周下载量超过 110 万次。影响该库的版本为 10.1.1 和 10.1.2 。

该问题的漏洞号为CVE-2022-23812，在 CVSS 漏洞评分系统中被评为 9.8 分（满分 10 分）。虽然破坏性修改已从 10.1 版的库中删除，但在不到4个小时后推送了一个重大更新（11.0.0 版），它导入了另一个名为 peacenotwar 的依赖项，也由 RIAEvangelist 作为一种形式表达对俄罗斯的侵略进行非暴力抗议。

每当调用 node-ipc 模块功能时，它都会向STDOUT打印一条从peacenotwar 模块中取出的消息，并在用户的桌面目录中放置一个文件，其中包含与俄罗斯和乌克兰当前战时局势有关的内容。

截至 2022 年 3 月 15 日，最新的11.1.0版本将 peacenotwar 软件包版本从 9.1.3 升级到 9.1.5，并捆绑了 colors NPM 库，同时还删除了 STDOUT 控制台消息。

这一安全事件涉及一名开发人员破坏磁盘上文件的恶意行为，以及他们试图以不同形式隐藏和重申这种蓄意破坏行为，虽然这是一次以抗议为动机的攻击，但它突出了软件供应链面临的一个更大的问题：代码中的传递依赖可能对你的安全性产生巨大影响。