Под удар также попался vue-cli
Разработчики запушили в репозиторий node-ipc код, который удаляет файлы с сервера. Также был затронут пакет vue-cli.
5 марта 2022 года пользователи популярного JavaScript-фреймворка Vue.js столкнулись с атакой на цепочку поставок, влияющую на экосистему npm. Был проведен саботаж в знак протеста со стороны разработчиков пакета node-ipc.
Один из разработчиков внедрил код, который повреждает файлы на диске, и попытался скрыть этого код. Атака была выполнена в знак протеста против "спецоперации" и затронула клиентов из России и Беларуси.
Пользователи провели деобсуфикацию кода, и обнаружили, что пользователям из России/Беларуси с 25% шансом код также заменяет содержимое файлов компьютера на сердечки.
В результате использования уязвимого модуля может привести к полной уничтожении информации на серверах или компьютерах пользователей с российскими IP адресами.