В популярную js-библиотеку на некоторое время добавили код, удаляющий файлы у пользователей из России и Беларуси

Вероятность затирания файлов была один к четырем.

Пользователи js-фреймворка Vue.js и приложений на его основе стали жертвами атаки на цепочку поставок. Инициатором атаки, рассказывает snyk, стал мейнтейнер npm под ником RIAEvangelist.

Мейнтейнер включил в свой пакет node-ipc, использующийся в vue/cli, зависимость к пакету peacenotwar, содержавшему вредоносный код. Этот код проверял, запущен ли он на системе с ip-адресом России или Беларуси, и если да — с вероятностью в 25% затирал содержимое файлов на смайлик-сердечко.

Код пакета peacenotwar, отмечают в snyk, был обфусцирован таким образом, чтобы нельзя было с первого взгляда понять, что он делает. Спустя некоторое время код peacenotwar сменился: теперь он не затирал файлы, а создавал на рабочем столе файл с названием WITH-LOVE-FROM-AMERICA.txt/

Сам мейнтейнер пытался отрицать внедрение вредоносного кода, но не преуспел. В разговоре с другими разработчиками мейнтейнер дал понять, что внедрил вредоносный код в качестве реакции на военную операцию России на территории Украины.

Судя по открытым данным, пакет peacenotwar был загружен больше 40 тысяч раз. Это происходило при установке или обновлении библиотек, использующих node-ipc. В частности, среди пострадавших оказались пользователи игрового движка Unity.