peacenotwar

peacenotwar是一种被归类为抗议软件（Protestware）的恶意软件^[1]，由布兰登·野崎·米勒编写。2022年3月，该软件作为依赖项被添加到常用的JavaScript依赖node-ipc中。

peacenotwar

分类	抗议软件（Protestware）
子类型	JavaScript负载
作者	布兰登·野崎·米勒
程式语言	JavaScript

背景

2022年3月7日至8日，npm包注册表中node-ipc包的维护者布兰登·野崎·米勒发布了两个更新，据称包含针对俄罗斯和白俄罗斯系统的恶意代码（CVE-2022-23812），这些代码会递归地用心形表情符号覆盖用户系统驱动器上的所有文件^{[2][3][4][5][6]}。一周后，米勒在node-ipc中添加了依赖项——peacenotwar模块和npm colors包^[7]：前者会在受影响机器的桌面上创建名为WITH-LOVE-FROM-AMERICA.txt的文本文档，内容是抗议俄罗斯入侵乌克兰的信息；后者会导致使用它的服务器发生拒绝服务攻击^[8][9]。

影响

由于node-ipc是常用的软件依赖，它影响了多个依赖于该包的其他项目。^[10]

受影响的项目包括Vue.js，该项目需要node-ipc作为依赖，但未指定具体版本。如果某些Vue.js用户从特定包中获取该依赖，可能会受到影响。Unity Hub 3.1也受到了影响，但在当天就发布了补丁。^[6][8]

参见

• npm left-pad事件——2016年软件开发事件
• 供应链攻击——通过针对供应网络中安全性较低的元素来破坏组织的网络攻击
• 骇客行动主义——使用计算机和计算机网络作为抗议手段以促进政治目的
• 对俄罗斯入侵乌克兰的反应——国际反应
• 反俄——不喜欢或害怕俄罗斯、俄罗斯人民、俄罗斯文化或语言