peacenotwar

peacenotwar是一種被歸類為抗議軟體（Protestware）的惡意軟體^[1]，由布蘭登·野崎·米勒編寫。2022年3月，該軟體作為依賴項被添加到常用的JavaScript依賴node-ipc中。

peacenotwar

分類	抗議軟體（Protestware）
子類型	JavaScript負載
作者	布蘭登·野崎·米勒
程式語言	JavaScript

背景

2022年3月7日至8日，npm包登錄檔中node-ipc包的維護者布蘭登·野崎·米勒發布了兩個更新，據稱包含針對俄羅斯和白俄羅斯系統的惡意代碼（CVE-2022-23812），這些代碼會遞迴地用心形表情符號覆蓋使用者系統驅動器上的所有檔案^{[2][3][4][5][6]}。一周後，米勒在node-ipc中添加了依賴項——peacenotwar模組和npm colors包^[7]：前者會在受影響機器的桌面上建立名為WITH-LOVE-FROM-AMERICA.txt的文字文件，內容是抗議俄羅斯入侵烏克蘭的資訊；後者會導致使用它的伺服器發生阻斷服務攻擊^[8][9]。

影響

由於node-ipc是常用的軟體依賴，它影響了多個依賴於該包的其他專案。^[10]

受影響的專案包括Vue.js，該專案需要node-ipc作為依賴，但未指定具體版本。如果某些Vue.js使用者從特定包中取得該依賴，可能會受到影響。Unity Hub 3.1也受到了影響，但在當天就發布了修補程式。^[6][8]

參見

• npm left-pad事件——2016年軟體開發事件
• 供應鏈攻擊——通過針對供應網路中安全性較低的元素來破壞組織的網路攻擊
• 駭客行動主義——使用電腦和電腦網路作為抗議手段以促進政治目的
• 對俄羅斯入侵烏克蘭的反應——國際反應
• 反俄——不喜歡或害怕俄羅斯、俄羅斯人民、俄羅斯文化或語言