node-ipc 暴雷， vue 用户注意一下你的依赖

又是开源库放毒

这操作，属实失了智

有点恶心了。。

这些傻逼总是以为是码农发动的战争

破坏计算机系统罪? 可惜中国没有长臂管辖

如果开源社区默许了这个行为对于开源社区是灾难性的，任何人都能以抗议的形式，夹带病毒。

这件事在 V2EX 被披露的第二天我就把我电脑上的 npm 删了，以后全部用 docker 配合 volume 吧，这样只影响项目目录。

关于防护，有人有更好的建议吗？

@0o0O0o0O0o 已经被 npm 拉黑了，新版本的 vue-cli 好像也移除这个库了，不是🇷🇺 ip 的服务器应该问题不大

现在我打开互联网想聊聊游戏，聊聊电影小说音乐，聊聊代码 但是这些我原以为属于生活的东西却越来越政治化。

@0o0O0o0O0o #7 不要升级最新的，等两三个月在升级

peace and love.
我给你马两刀

这件事是赤裸裸得犯罪啊，政治正确得威力还是大啊

@yujinchn #8 是指防止未来遇到同类问题，这个事件让我觉得这些依赖的版本管理太脆弱了。我写得很少，有需要时都是找些模版项目拉下来改改，但印象中从没有工具提示我依赖版本没有 lock ，只有 npm audit 提示有已知漏洞的依赖，这种低成本供应链攻击的事实让我很不安。
@christin #10

npm 真是隔一段时间就能整个活

被感染的包里 https://github.com/RIAEvangelist/peacenotwar/network/dependents 出现了 vuejs / vue-cli
是我没有想到的，里面还有一些通过 vue-cli 新建的项目。

前端娱乐圈

@infactory 不整活没法活

最近看到整活的好像都是 npm....
其他也有包管理依赖语言的，比如 go ，rust ，java 印象中没有看到过类似的事情。有谁可以举个例子吗

是不是魔怔了？

@jk54 #18 比如 pypi 啊，go 啊这种包管理的设计其实都能整活的，可能还没人想到吧

nodejs 出这种事不是第一次了吧

@emeab #9
互联网从未不政治过，在国内早就因为政治让大多数游戏，部分音乐、网站这些生活的东西无法访问或进行高压审查了。

又是 node.js 娱乐圈

@learningman pypi 也有过，不过因为被投毒的包本身没多少用户，影响不大

反战就反战，夹私货干啥。。。。政治巨婴。。。

GitHub 举报里面包含了“harmful code”这一选项，不知道对这个库是否有效

https://support.github.com/contact/report-abuse?category=report-abuse

@jk54 go 用 github 作为仓库的更容易出问题吧，还只能 github ban 掉

node 是一年要出个两三回这种那种的事

@0o0O0o0O0o pin dependency 。

update 依赖库的时候要看 changelog ，要有测试环境测试。

@matrix67 其它语言倒还好，前端开发这种动不动 node_modules 就上千的，很难挨个看过去的。

npm 每次都能来个新花样，新把戏。

前端娱乐圈不是开玩笑的噢

@Oktfolio 还好吧，现在不都用 go modules 嘛，从 go proxy 拉下来的特定版本是会被其缓存且无法修改的，作者只能要求 go proxy 删除

@agdhole #22 其实也没那么从未，至少在刚出来那几年还是挺「不政治」的，所以也时不时有人在怀念过去。

政治确实一件挺可恨的东西，不论中外也不论过去现在，不过可惜在本人寿命范围内，估计也是不可能看见政治这种东西的消亡了，而且应该还会往恶化的方向走。

@yujinchn #8
已经锁版本了 https://github.com/vuejs/vue-cli/issues/7054#issuecomment-1068677029

@Oktfolio go.mod 都是锁版本号和 checksum 的，开发者不主动升级根本不会被供应链攻击，就算默认的 proxy.golang.org 被投毒了，本地的.sum 文件也就让他验证不通过的

@agdhole 你看 你这发言不就符合我发言. 而且大部分游戏哪里就不能访问了..

@moreant 是的，这里也有在讨论 https://old.reddit.com/r/selfhosted/comments/tge5xa/npm_supply_chain_attack_wipes_your_disk_if_you/

这库有啥用，为啥要用，桌面出东西除了因为 vue 还有因为其他的吗？
责任都能追到 node.js 身上，但 vue 没有一点责任
棒呆了各位前端大佬

前端真是娱乐圈啊！！！！还是搞 C 好啊，没有那么多牛鬼蛇神

版本锁定 + 代码审查

@0o0O0o0O0o 想要安心就 npm ci

足球比咱们这行业更热闹呢。。尤其欧足联 还有猫啊狗啊协会啥。。

？这都能扩展到前端身上

把 IP 检查修好了再放出来就好了

这集我看过
http://web.archive.org/web/20220311143153/https://v2ex.com/t/839669?p=1

反对开源项目内做表态本身已经是一种政治立场的选择，本质上是一样的

@wooi 反对反对开源项目内做表态本身已经是一种政治立场的选择，本质上是一样的
----
你这是连内容都懒得看吗，制造病毒是 “表态”？

感觉每个月都会整点花出来, 还真就离谱

我觉得这个问题主要是作者，但是 npm 也是有问题的，npm 的默认开区间(现在是^符号)安装依赖导致作者发布的小版本安装时会自动升级，绝大部分人不会去锁定某个软件的版本，其次 npm 的黑洞式依赖根本就很难分清你到底使用了什么软件(A 依赖 B ，B 依赖 C ，C 依赖 D ）

@yazinnnn 既然是开源库，那作者在一定范围内有权利做任何事。而你没有付费使用也没有贡献不应该感激么，至少出问题不该谩骂

@shengyueming 对开源项目的使用和关注也是一种支持,支持者没有资格对这种行为评判吗?

@shengyueming 出问题跟恶意塞垃圾是一个性质？

@shengyueming 你在说什么呢？随意动用户的东西这是投毒，按你的意思免费用了东西就要感恩戴德了？自己的东西就可以随你处置了？偷偷动用户的东西都不能骂了那病毒为什么是病毒？小的是随意新建个没什么太大伤害的东西，大是的拿你的电脑挖矿、删除或破坏电脑里面的文件！

总喜欢整点新花样

@dvsilch 你可以理解为 bug

@Mexion 他动的是自己的库。你有能力直接提 issue ，或者做个类似的库，在这里骂娘有啥用，人家下次还这样
@leviathansroc 不能批判？我写的是谩骂？中文看不懂？

如果西方标榜的自由制度下尽出这种垃圾的话，这种自由要了干啥？作恶也是自由

@shengyueming
你说是 bug 就是 bug ？他是无意中写了个 peacenotwar 的库然后再无意引入进来发布的？怎么说你们混淆概念真有一套呢

@shengyueming 当时 antd 圣诞节改个 UI 都被骂翻了. 动用户数据反而是 bug... 人类很奇妙吧.

@shengyueming #51 开源库更新了一个小版本里面加了会格掉你的硬盘代码就不算恶意代码了？还不能骂两句？

@shengyueming 你真是脑子有毛病，你利用开源社区的规则赢取了信任去做坏事，我还不能骂了？反思怪真的牛逼，你有你的立场可以，甚至你在 readme 里面表达也可以，你特么往代码里面塞东西删用户的文件，往别人的 pc 里面创建文件，这是犯罪知道吗？

@emeab #59 双标就是这样的

> 如果主机的 IP 地址来自俄罗斯或白俄罗斯，该代码将对其文件进行攻击，将文件全部替换成 ❤。该作者是个反战人士，还特意新建了一个 peacenotwar 仓库来宣传他的反战理念.

嚯，牛批，挂俄罗斯梯子的会不会被爆破哇

@shengyueming 多谢你，多了一个 block 的对象

@shengyueming 你来我的饭店吃饭，我给你的菜里加 shit ，但是我给你免费吃， 你是不是要对我感恩戴德？我都给你免费了，我往里面加什么是我的自由，是不是！

@jk54 因为 npm 的依赖机制问题，java 的依赖的不会不是递归依赖，rust 目前没有 npm 规模大，golang 的机制其实和 npm 比较像，但又不完全像，基础工具还是完全依赖官方的。npm 最大的问题其实从底层就是千万的轮子，你都不知道哪个底层轮子出问题

@wapzjn #50 并不是这样的，lockfile (package-lock.json, yarn.lock, pnpm-lock.yaml)的作用就是保证所有的依赖版本都和你初次 install 是一致的，如果你开发的是一个应用，你应该总是把这个文件 commit 进去，这样其他协作者，CICD 都能保证是一致的，除非你手动更新了依赖才会导致 lockfile 也更新。如果你开发的是一个 library ，倒是可以不 commit ，这样会让问题提早被发现。

开源对开发者来说事实上提供了一个简单免费快速方便的软件分发方式，中间是不存在审核的，任何人都可以发布任何你想要发布的东西，其他人开到是开源时天然就产生了一种更信任的感觉，这个社区就是建立在脆弱的信任链条上的，希望它从来不出问题是不可能，扪心自问有几个人使用 curl xxx.sh | bash 这种方式安装东西的时候会去检查那个脚本里写了什么呢？更别说一个项目那么多的依赖了。

不管是包的数量还是开发者的数量，npm 社区这个第一庞大的超级规模出现这种事情是完全可以预期的，其他语言 /社区要做这种事情一样有的是办法，拿这点来喷完全就是尬黑了，还有黑前端的，node-ipc 看包名就知道是个 nodejs 进程通信的包，跟前端有什么关系？意思前端一些基础设施工具底层依赖了这玩意儿就也能把整个前端圈拿出来批判一番了？

再多说一句，这种事情我相信以后会越来越多，倒不是说某个开发者自己发疯下毒，而是随着软件行业的繁荣和开源社区的壮大，这个脆弱的链条会被越来越多坏人盯上，我印象里的这种 supply chain 上暴露的问题已经是肉眼可见的一年比一年多了。

这对开源社区是一个非常大的打击。
突然觉得，BSD 社区的人观点是对的。

今天只是这个前端搞事而已，明天若是 linux 内核有开发者这么搞，那这“开源”就死了。

https://github.com/zlw9991/node-ipc-dependencies-list/
有个受影响的库可以查

@wooi 直接走流程？

@zhaol 你脑子没有毛病至于这么激动？不就是跟你观点不一样？当心气急败坏猝死

@emeab 所以骂的人和现在骂的人是一波人？所以有什么可比性。就是要煽动对立呗

@brucedone 你爱咋咋吧。以为别人惧怕你 block 似的。对于任何人的生活不产生任何影响。你这种思想也就是某某长期熏陶下的产物

@sprite82 你每天吃的外卖真有可能，并且你还会说真好吃。连小学生的餐食都不放过的地方，别说你们这种底层了

@shengyueming 比不上你，毕竟你吃的是高贵的洋大人的给你剩下的泔水

@shengyueming 24k 纯智障，别回复了。脑残

@zhaol 听说你父母挂得早？所以么家教？你觉得我会跟风狗对着喊吗？

@sprite82 你赶紧少吃点，省下来的钱要资助你的黑哥，还有你的老婆给他们做学伴

@shengyueming fw 东西，被人喷了，知道自己没理了，开始嘴臭了