Под удар также попался vue-cli
5 марта 2022 года пользователи популярного JavaScript-фреймворка Vue.js столкнулись с атакой на цепочку поставок, влияющую на экосистему npm. Был проведен саботаж в знак протеста со стороны разработчиков пакета node-ipc.
Один из разработчиков внедрил код, который повреждает файлы на диске, и попытался скрыть этого код. Атака была выполнена в знак протеста против "спецоперации" и затронула клиентов из России и Беларуси.
Пользователи провели деобсуфикацию кода, и обнаружили, что пользователям из России/Беларуси с 25% шансом код также заменяет содержимое файлов компьютера на сердечки.
В результате использования уязвимого модуля может привести к полному уничтожению информации на серверах или компьютерах пользователей с российскими IP адресами.
От классики до авангарда — наука во всех жанрах