維護者破壞熱門node-ipc套件抗議俄羅斯入侵烏克蘭

由維護者破壞自家NPM（Node Package Manager）套件的供應鏈攻擊又一樁，資安業者Snyk發現，在3月15日熱門的JavaScript前端框架Vue.js遭受NPM生態系供應鏈攻擊，這是巢狀相依項目node-ipc和Peacenotwa套件的維護者，因為抗議俄羅斯入侵烏克蘭，所做出的破壞行為。

Snyk提到，雖然這是一種以抗議為動機的攻擊，但凸顯了軟體供應鏈所面臨的大問題，也就是程式碼的相依性，可能對用戶的軟體安全造成重大的影響。目前Snyk正利用CVE-2022-23812來追蹤該安全事件。

這個事件可被追溯至3月8日，NPM維護者Brandon Nozaki Miller（RIAEvangelist）編寫了一個稱為Peacenotwar的NPM套件，並且加入模組描述提到，該模組程式碼作為非破壞性範例，來顯示控制Node模組的重要性，同時，也以非暴力的抗議方法，來抗議俄羅斯威脅世界和平的侵略行為。該模組會在使用者的桌面，顯示表達和平理念的訊息。

這個模組在3月15日前幾乎沒有被下載過，但是當NPM維護者將該模組添加到熱門的模組node-ipc時，Peacenotwar開始被大量下載，因為node-ipc是生態系中，許多JavaScript開發者所使用的熱門相依項目，其中一個使用該項目的熱門專案，是Vue.js的命令列工具Vue.js CLI。

當前最新的穩定版本NPM套件node-ipc 9.2.2綑綁了Peacenotwar，Snyk提到，有趣的是，Peacenotwar綑綁了帶有萬用字元*相依範圍的colors NPM套件。colors套件是發生在2022年1月另一起NPM軟體供應鏈攻擊的主角，因為作者Marak Squires不滿大部分財星500大企業使用他的專案colors和Faker，但是卻又不願支付費用，因而一氣之下破壞程式碼儲存庫。

Snyk提到，雖然維護者RIAEvangelist的蓄意破壞，被部分人視為合法的抗議行為，但在表達意見的同時，也影響他在開發社群中的聲譽。目前RIAEvangelist還維護40多個NPM套件，下載總數達數億，雖然目前沒有任何跡象，顯示RIAEvangelist在其他的軟體套件進行類似的濫用行為，但是Snyk仍提醒用戶應該對npmjs生態系更新保持警覺。

由於擔心之後程式碼更新可能帶給用戶其他額外的風險，Snyk建議用戶應該避免使用node-ipc套件，萬一該套件已經綑綁在應用程式中，Snyk則建議用戶使用NPM套件管理器，覆蓋遭到破壞的版本，並且釘選已知良好版本。

Snyk表達支持烏克蘭的立場，並且也採取行動停止在白俄羅斯和俄羅斯的業務，但是該公司提到，類似的故意濫用行為破壞全球開源社群，因此他們必須將受影響的node-ipc版本標記存在安全漏洞。同時由於類似的供應鏈安全事件一再發生，Snyk認為，這表明企業需有正確管理和快速應對開源相依項目風險的能力。