zh Peacenotwar

peacenotwar
分類	抗议软件（Protestware）
子類型	JavaScript负载
作者	布兰登·野崎·米勒
程式語言	JavaScript

peacenotwar是一种被归类为抗议软件（Protestware）的恶意软件^[1]，由布兰登·野崎·米勒编写。2022年3月，该软件作为依赖项被添加到常用的JavaScript 依赖node-ipc中。

背景

2022年3月7日至8日，npm包注册表中node-ipc包的维护者布兰登·野崎·米勒发布了两个更新，据称包含针对俄罗斯和白俄罗斯系统的恶意代码（CVE-2022-23812），这些代码会递归地用心形表情符号覆盖用户系统驱动器上的所有文件^[2]^[3]^[4]^[5]^[6]。一周后，米勒在node-ipc中添加了依赖项——peacenotwar模块和npm colors包^[7]：前者会在受影响机器的桌面上创建名为WITH-LOVE-FROM-AMERICA.txt的文本文档，内容是抗议俄罗斯入侵乌克兰的信息；后者会导致使用它的服务器发生拒绝服务攻击^[8]^[9]。

影响

由于node-ipc是常用的软件依赖，它影响了多个依赖于该包的其他项目。^[10]

受影响的项目包括Vue.js，该项目需要node-ipc作为依赖，但未指定具体版本。如果某些Vue.js用户从特定包中获取该依赖，可能会受到影响。Unity Hub 3.1也受到了影响，但在当天就发布了补丁。^[6]^[8]

参见

npm left-pad事件——2016年软件开发事件
供应链攻击——通过针对供应网络中安全性较低的元素来破坏组织的网络攻击
駭客行動主義——使用计算机和计算机网络作为抗议手段以促进政治目的
对俄罗斯入侵乌克兰的反应——國際反應
反俄——不喜欢或害怕俄罗斯、俄罗斯人民、俄罗斯文化或语言

参考来源

^ Maffulli, Stefano. Open source 'protestware' harms Open Source. Open Source Initiative. 2022-03-24 [2024-06-09]. （原始内容存档于2024-01-11）（英语）.
^ Dan Goodin. Sabotage: Code added to popular NPM package wiped files in Russia and Belarus. Ars Technica. 2022-03-18 [2024-06-09]. （原始内容存档于2023-12-31）（英语）.
^ Cox, Joseph. Open Source Maintainer Sabotages Code to Wipe Russian, Belarusian Computers. Vice News. 2022-03-18 [2022-03-18]. （原始内容存档于2022-03-18）（英语）.
^ Lucian Constantin. Developer sabotages own npm module prompting open-source supply chain security questions. Computer Security Online. 2022-03-19 [2024-03-16] （英语）.
^ Adam Bannister. NPM maintainer targets Russian users with data-wiping 'protestware'. The Daily Swig. 2022-03-21 [2024-03-16]. （原始内容存档于2024-03-16）（英语）.
^ ^6.0 ^6.1 Ax Sharma. BIG sabotage: Famous npm package deletes files to protest Ukraine war. Bleeping Computer（英语：Bleeping Computer）. 2022-03-17 [2024-03-16]. （原始内容存档于2022-03-17）（英语）.
^ Proven, Liam. JavaScript library updated to wipe files from Russian computers. The Register. Situation Publishing. 2022-03-18 [2022-03-18]. （原始内容存档于2022-03-18）（英语）.
^ ^8.0 ^8.1 Tal, Liran. Alert: peacenotwar module sabotages npm developers in the node-ipc package to protest the invasion of Ukraine. Snyk（英语：Snyk）. 2022-03-16 [2022-03-18]. （原始内容存档于2022-04-09）（英语）.
^ Tal, Liran; Ben Josef, Assaf. Open source maintainer pulls the plug on NPM packages colors and faker, now what?. Snyk（英语：Snyk）. 2022-01-10 [2025-01-09]. （原始内容存档于2025-01-04）（英语）.
^ Node-ipc-dependencies-list. GitHub. 2022-03-19 [2022-03-18]. （原始内容存档于2022-04-16）（英语）.

[opensource20220324-1] Maffulli, Stefano. Open source 'protestware' harms Open Source. Open Source Initiative. 2022-03-24 [2024-06-09]. （原始内容存档于2024-01-11）（英语）.

[arstechnica20220318-2] Dan Goodin. Sabotage: Code added to popular NPM package wiped files in Russia and Belarus. Ars Technica. 2022-03-18 [2024-06-09]. （原始内容存档于2023-12-31）（英语）.

[vice20220318-3] Cox, Joseph. Open Source Maintainer Sabotages Code to Wipe Russian, Belarusian Computers. Vice News. 2022-03-18 [2022-03-18]. （原始内容存档于2022-03-18）（英语）.

[csoonline20220319-4] Lucian Constantin. Developer sabotages own npm module prompting open-source supply chain security questions. Computer Security Online. 2022-03-19 [2024-03-16] （英语）.

[portswigger20220321-5] Adam Bannister. NPM maintainer targets Russian users with data-wiping 'protestware'. The Daily Swig. 2022-03-21 [2024-03-16]. （原始内容存档于2024-03-16）（英语）.

[bleepingcomputer20220317-6] 6.0 ^6.1 Ax Sharma. BIG sabotage: Famous npm package deletes files to protest Ukraine war. Bleeping Computer（英语：Bleeping Computer）. 2022-03-17 [2024-03-16]. （原始内容存档于2022-03-17）（英语）.

[theregister20220318-7] Proven, Liam. JavaScript library updated to wipe files from Russian computers. The Register. Situation Publishing. 2022-03-18 [2022-03-18]. （原始内容存档于2022-03-18）（英语）.

[snyk20220316-8] 8.0 ^8.1 Tal, Liran. Alert: peacenotwar module sabotages npm developers in the node-ipc package to protest the invasion of Ukraine. Snyk（英语：Snyk）. 2022-03-16 [2022-03-18]. （原始内容存档于2022-04-09）（英语）.

[snyk20220109-9] Tal, Liran; Ben Josef, Assaf. Open source maintainer pulls the plug on NPM packages colors and faker, now what?. Snyk（英语：Snyk）. 2022-01-10 [2025-01-09]. （原始内容存档于2025-01-04）（英语）.

[github20220319-10] Node-ipc-dependencies-list. GitHub. 2022-03-19 [2022-03-18]. （原始内容存档于2022-04-16）（英语）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

Agama	Bahasa	Biografi	Budaya	Ekonomi	Elektronika
Film	Filsafat	Geografi	Indonesia	Ilmu	Lingkungan
Masyarakat	Matematika	Militer	Mitologi	Musik	Olahraga
Pendidikan	Politik	Sastra	Sejarah	Seni	Teknologi

Peacenotwar

背景

影响

参见

参考来源

Portal di Ensiklopedia Dunia