5 марта 2022 года пользователи популярного JavaScript-фреймворка Vue.js столкнулись с атакой на цепочку поставок, влияющую на экосистему npm. Был проведен саботаж в знак протеста со стороны разработчиков пакета node-ipc. RIAEvangelist aka Brandon Nozaki Miller внедрил туда код, который повреждает файлы на диске, и попытался скрыть это. Атака была выполнена в знак протеста против СВО и затронула пользователей из России и Беларуси. Когда провели деобфускацию кода, то обнаружили, что пользователям из России/Беларуси с 25% шансом код также заменяет содержимое файлов компьютера на сердечки.
Brandon Nozaki Miller
Упрощенная версия этого кода, уже опубликованная исследователями, показывает, что у пользователей из России и Беларуси код перепишет содержимое всех файлов, присутствующих в системе, заменив их на эмодзи-сердца, тем самым эффективно удалит данные.
Поскольку node-ipc версий 9.2.2, 11.0.0 и более поздних включает в себя Peacenotwar, затронутые пользователи также обнаруживают на рабочем столе послание «WITH-LOVE-FROM-AMERICA.txt», где автор призывает к миру.
По информации Linux.org.ru, деструктивные действия разработчика npm-пакета node-ipc привели к проблемам по всему миру.
А ведь этот Миллер был приличным человеком, первым кто разогнался до 100 миль в час на 150-килограммовом электрическом мотоцикле. По состоянию на 2012 год, он являлся рекордсменом FIM/AMA по наземной скорости для электрического мотоцикла весом 150 кг на милю, 101,652 мили в час, и на километр, 102,281 миля в час. Он установил свои рекорды на гоночной трассе Bonneville Speedway в Юте.