npm 构建启动前端项目后,自动在桌面创建了 WITH-LOVE-FROM-AMERICA.txt

2022-03-15 18:17:19 +08:00
 simbaCheng

结论先行 npm 构建前端项目,启动后在桌面自动创建《 WITH-LOVE-FROM-AMERICA.txt 》文件。

过程:

观察: 已经有其他网友也出现此情况,桌面突然出现奇怪 txt 文件! 好像是今天才出现这个情况

怀疑是不是 npm 依赖项被恶意篡改了。 PS:难道是因为最近的国际时局?

6504 次点击
所在节点    前端开发
45 条回复
v2gg
2022-03-16 01:23:44 +08:00
PS: 恶意代码受影响的 node-ipc 版本为 v10.1.3 ,已经被作者删除或被 npm 撤下(不知道原因)了,而「 WITH-LOVE-FROM-AMERICA.txt 」文件是由 v11.0.0 版本引入的
ChaosesIb
2022-03-16 01:40:25 +08:00
有关恶意代码的 comment 已经都被作者删了,我存了张截图,想看的可以看下
s1.ax1x.com/2022/03/16/bzADMD.png
ChaosesIb
2022-03-16 01:52:03 +08:00
github.com/vuejs/vue-cli/issues/7054
后续对话在 vue 这里
FrankHB
2022-03-16 02:02:42 +08:00
@iseki 我先前可没评论谁具体应该说什么。我关心的是公众场合行为被容许的边界。
你回复的 @Chaoseslb 原话里说的是“可以”,隐含具体应该怎么做各人自担后果。
相对地,你直接使用了没有后退余地的祈使句,仿佛你表达的意见已经是天经地义的共识,这就串味得厉害了。
我之前都还没对项目的作者进行评论。现在我仍然认为这个案例至此还不值得我去 issue 针对(至少我不是直接受害者),但我倒是可以拿来举例说明为什么我同样会有意见:和你类似,这个项目的作者僭越了道德评价的有效范围,把私货传播到了公共领域。
区别是你也许只是无意间这么做罢了。不过这也不使你显得相对更高尚;相反,该项目作者起码(看上去)知道自己是在做什么,并且在 issue 里明确指出了下游可以消除影响的变通(尽管没事找事让用户凭空受到无妄之灾仍然很欠骂),这点理应比你的直线条惯性思维更应该受到褒扬。
“如果你认为跑到对应 issue 区域开骂是合理的,请自便”实质上回避你被指出的问题,这种跑题行径直觉上容易引起另外的不满。不过更直接的问题是你的“如果”就是妄自揣测,事实上等于没说。
我敦请停止无意义的道德评价。确定不应该在 issue 里做什么事情,ToS 应该够完善了。
joyqi
2022-03-16 02:06:21 +08:00
开始以为只是个恶作剧,后来发现这个提交者太邪恶了,如果是俄罗斯的 IP 运行,文件内容就会全部被替换为❤️?太可怕了。
0o0O0o0O0o
2022-03-16 06:40:35 +08:00
@0o0O0o0O0o #5 一语成谶
agdhole
2022-03-16 10:30:45 +08:00
真恶心,流氓软件行为
DOLLOR
2022-03-16 11:22:13 +08:00
看到 WITH-LOVE-FROM-AMERICA 蚌埠住了。
醜國人反戰是我聽過最好笑的笑話。
SongGG3
2022-03-16 11:32:02 +08:00
今天被恶心到了,今天新起了个项目,竟然依赖 peacenotwar ,下载失败提示 451 。赶紧指定版本绕过去了。马丹
43529
2022-03-16 11:47:41 +08:00
我又想起了前段时间 fakejs 那件事。开源社区的建立来之不易,希望大家都能有一份起码的尊重:作为一个受益者我当然要去尊重作者,去提 bug 贡献代码;但是我也希望作者们能尽量不有意地去向代码里加恶意代码(这是一份请求而非要求,我当然没有要求作者的权力)
villivateur
2022-03-16 13:32:51 +08:00
建议大家都去 npm 官方 report spam 吧
t2jk4000
2022-03-16 13:48:59 +08:00
唉……又是 npm 啊……
shadows
2022-03-16 14:02:58 +08:00
WITH-LOVE-FROM-AMERICA

可以参选年度最佳笑话
sujin190
2022-03-16 14:04:16 +08:00
@ChaosesIb 这往桌面这这种东西,显然作者没权利这么干吧,就算我们接受用他的开源软件包他就能想干嘛就干嘛,更不用说清空文件这种叫犯罪,但是不能不能从依赖链中从外部强行下架确实是个坑,毕竟世界总有那么几个傻缺
murmur
2022-03-16 14:09:26 +08:00
这个比阿里圣诞更恶劣,看来以后逼人自建仓库,全代码审查了
murmur
2022-03-16 14:11:29 +08:00
那个 peacenotwar ,小学生水平,md 该格式化补格式化,空格补空格,一堆 var ,大小写开头混用,就一坨 shi
Torpedo
2022-03-16 14:14:37 +08:00
@simbaCheng 这和新人、伸手党没关系。纯粹这个作者坑人
wangxin13g
2022-03-16 16:25:42 +08:00
我愿称之为开源恐怖主义
Danswerme
2022-03-16 20:16:56 +08:00
@wangxin13g 这六个字太贴切了,总不能去审查每一行开源代码吧。
dingyx99
2022-03-16 23:39:47 +08:00
@Danswerme 这么做其实是在破坏人们对开源建立的信任,只能说是这份信任被滥用了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/840562

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX