开源生态
chuzhixin/chalk-next 投毒事件最开始看到这个事情是在v2ex,前不久才遇到过俄乌战争导致的peacenotwar包投毒事件。当前关注的重点是chuzhixin是男是女,根据显式公开的资料,应该是女装大佬。事件的起因是chuzhixin创建了与知名项目chalk相似的仓库chuzhixin/chalk-next,并有比node-ipc破坏性更大的删除多项文件的功能。chuzhixin自述做出这类违法行为的原因是其商业版盗版太多,字里行间都描述自己是受害者。但是中国并没有堡垒法,且针对删除代码文件导致项目运营受到损失已经有多项判例,近些年最著名的就是链家删库被判9个月。常见定罪罪
78
ragnaroks
2023-01-06
WITH-LOVE-FROM-AMERICA正当315实况各种黑心企业时,前端娱乐圈发生了一件大事,很多人使用vue-cli的开发者发现打包时桌面上凭空多了一个WITH-LOVE-FROM-AMERICA.txt文本文档,其内容为空。其实这是nodejs生态的一次CVE,只是恰好被前端发现。因为后端开发者们都是用容器,在容器的家目录创建一个文本文件可能压根没人知道。起源github用户RIAEvangelist开发并维护一个名为node-ipc的nodejs包,同时开发并维护一个peacenotwar的nodejs包。RIAEvangelist于node-ipc中加入peacenotwar
65
ragnaroks
2022-04-23