chalk 和 chokidar 均为 npm 上著名包。

GitHub 项目 AFFiNE 近日从一个 PR 发现项目开发者曾误引入一个名为 chalk-next 的恶意包（与此 PR 似乎无关），此 chalk-next 包包含尝试收集/检查系统环境变量及删除文件的投毒代码 [1]。有 Twitter 用户分析后提到 [2]，疑似同一位作者还发布了包含类似行为，名为 chokidar-next 的包 [4]。

从 chokidar-next 包作者 [5] 其它包元信息指向的 GitHub 用户来看，这两个包的目的似乎是检测 vue-admin-beautiful 付费版本盗版用户并删除其代码 [6]。

目前 chalk-next 和 chokidar-next 均被标记为 "Security holding package" [7][8]。

1. https://github.com/toeverything/AFFiNE/pull/668
2. https://twitter.com/yihong0618/status/1610919470410928133
3. https://www.npmjs.com/org/chu1204505056
4. web.archive.org/~
5. web.archive.org/~
6. https://github.com/chuzhixin/chalk-next
7. https://www.npmjs.com/package/chalk-next
8. https://www.npmjs.com/package/chokidar-next

#npm #vueadminbeautiful #OpenSource #Ecosystem #SupplyChain #Security

GitHub

Update printer.js by heng1025 · Pull Request #668 · toeverything/AFFiNE

There can be more than Notion and Miro. AFFiNE is a next-gen knowledge base that brings planning, sorting and creating all together. Privacy first, open-source, customizable and ready to use. - Update printer.js by heng1025 · Pull Request #668 · toeverything/AFFiNE

Vue CLI 已经发布 4.5.16/5.0.3 版本，以锁定 node-ipc 的依赖到不含 peacenotwar 模块的版本。昨天下午到晚上新透过 Vue CLI 创建的项目/更新依赖的项目可能受到 peacenotwar 模块的影响，但此模块不会导致文件被删除。

https://github.com/vuejs/vue-cli/issues/7054#issuecomment-1068677029

thread: /3471

#Vue #NodeIPC #npm

GitHub

!!!!!!!!!!!! Please do something to warn USERS besides publishing new versions · Issue #7054 · vuejs/vue-cli

See https://github.com/RIAEvangelist/node-ipc/issues/233#issuecomment-1068182278 the node-ipc is doing things far more than ever expected. If any users are using ip in russia, all their file will b...