node 百万周下载量

vue-cli 的依赖项 node-ipc 包正在以反战为名启动供应链投毒，该包在 npm 每周有上百万下载量。

出名技术网站 V2ex 的一条帖子爆出了这个疑问，用户 simbaCheng 在经常使用 npm 构建前端名目时，启动名目后桌面智能创立了一个《WITH-LOVE-FROM-AMERICA.txt 》文件，点开之后发现内容是空的。

simbaCheng 被吓一跳，认为自己电脑中毒了。在网友的热心协助下，发现该 txt 文件是 vue-cli 的依赖项 node-ipc 包的作者RIAEvangelist 在投毒，该作者是个反战人士，还特地新建了一个 peacenotwar 仓库来宣传他的反战理念。

但是网友继续深扒后，发现该作者还有更狠毒的投毒行为。假设说往用户桌面写 txt 文件属于保守的反战行为，那么知乎用户 @贺师俊 所引见的 这个 Issue中的举动则是彻底的恶意攻打：

攻打源码在仓库中仍可找到。源码经过紧缩，便捷地将一些关键字符串启动了 base64 编码。其行为是应用第三方服务探测用户 IP，针对俄罗斯和白俄罗斯IP，会尝试笼罩目录、父目录和根目录的一切文件，把一切内容交流成 ❤。

但在提交了下面恶意攻打代码后，兴许是看法到自己行为的重大性，该作者在半天后把该恶意攻打改成了“较敌对”的“反战” TXT文本，正如本文扫尾所形容的普通。但无论如何这依然是一种顽劣的攻打行为，重大破坏了开源生态中的信赖，它最坏的结果是带来强代码查看，各大代码托管平台会对代码注释、变量常量命名启动查看。

留意： 该作者明晰地知道自己在做什么，以及这些代码象征着什么，他在 issue 里明白指出了下游可以消弭影响的变通方法。在该 vue-cli issue对话 中，RIAEvangelist 更是慷慨抵赖自己的恶意代码是针对俄罗斯和白俄罗斯用户

而且，这不是 RIAEvangelist 和他的这个 node-ipc 包第一次性惹起争议了，早在 2020 年 node-ipc就由于其奇异的“don't be a dick”容许证惹起了争议，尤雨溪还露面回应：

后续：

附受影响名目的处置模式：