開発者は独自のnpmモジュールを妨害し、オープンソースのサプライチェーンのセキュリティの質問を促します – csoonline.com

先週、GitHubでRIAEvangelistという名前を使用するnode-ipcの開発者は、コンポーネントに悪意のあるコードを追加するために、まだサポートされているバージョンのnode-ipcにいくつかの更新をリリースしました。
その同じ日に、開発者は、依存関係としてpeacenotwarを追加した11.0.0と呼ばれるnode-ipcの新しいメジャーバージョンもリリースしました。
9.xブランチはモジュールの安定バージョンと見なされ、最も広く使用されており、node-ipcを使用する複数のプロジェクトのユーザーがシステムで新しいファイルを見つけ始めたため、この問題に大きな注目を集めています。
Snykの分析によると、この悪意のあるコードは3月7日にnode-ipcバージョン10.1.1に追加され、changelogやreadmeには記載されていません。
約10時間後、コードをほとんど変更せずに10.1.2という別のバージョンがリリースされました。
さらに5時間後、3月8日、RIAEvangelistはバージョン10.1.3をリリースし、悪意のあるコードを削除しました。