Node-ipc 热门包作者投毒“社死‘’,谁来保护开源软件供应链安全?

最新推荐文章于 2024-05-17 17:37:14 发布
最新推荐文章于 2024-05-17 17:37:14 发布
阅读量4.5k 收藏 2
点赞数
文章标签: java 微软 github npm linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smellycat000/article/details/123540435
版权

4053b11c8c648fbb4e7c2d8930dffa33.gif 聚焦源代码安全,网罗国内外最新资讯!

67e5e27021c3b2cdff2063d6ee622628.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

fa09132896044b9439a2928a086c6681.png

cb868185217fb37600c5c03a1fac9003.png

Node-ipc 简介

Node-ipc 是用于本地和远程间通信的 nodejs 模块,支持Linux、Mac 和 Windows 系统。它还支持底层unix和UDP的windows 套接字,并保护TLS 和TCP 套接字的安全。它是解决Node.js 中复杂多进程 Neutral Networking 的很好的解决方案。截止 9.2.2版本,该模块使用 peacenotwar 模块。该模块的周下载量超过109万次。

f9e7bbb402bec25fdda4abdcd8abffaa.png

457e44890b3a3f184c0554ba5f1fcea6.png

事件概述

但今天,多个国家的开发人员在使用时发现无法拉取 vue-cli 依赖node-ipc 的 peacenotwar 包。如果用户使用的是俄罗斯的IP地址,则所有文件会被爱心图标替换,然后未经用户同意,在桌面和OneDrive文件夹写入“WITH-LOVE-FROM-AMERICA.txt” 。peacenotware 模块的作者RIAEvangelist 被指投毒供应链。

a8e710e70f70453e337f18b46efa52a9.png

恶意代码如下:

1e6c1daa2337c81ebbbdd26ebc65dff7.png

8be485a1886da121224397a7450d8976.png

最低0.47元/天 解锁文章
奇安信代码卫士
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决yarn install报错:error @achrinza/node-ipc@9.2.2: The engine “node“ is incompatible
u013992330的博客
01-18 1777
【代码】解决yarn install报错:error @achrinza/node-ipc@9.2.2: The engine “node“ is incompatible。
记录--ipc升级模块流程
qq18218628646的博客
09-18 228
然后对升级文件数据进行解析,这是升级模块中比较主要的点,首先对升级文件进行解密,一般解密是从升级文件头开始的,检查当前主板的系列和类型,为了远程获取数据升级,需要关闭一些进程(主进程)和功能,检查并请求升级所需要的内存,将升级文件的物理地址映射成虚拟地址,然后对升级部件进行日期检验、版本对比,同时检验版本号和名,将解析后的升级数据保存到对应的结构体中,确定需要升级的模块,如uboot,kernel,rootfs,app,logo,www,985系列的还有FPGA,loader,fdt。
报错:error @achrinza/node-ipc@9.2.2: The engine “node“ is incompatible with this module. Expected vers
最新发布
记录点滴
05-17 677
【代码】报错:error @achrinza/node-ipc@9.2.2: The engine “node“ is incompatible with this module. Expected vers。
node-ipc:进程间通信模块,用于支持Unix套接字,TCP,TLS和UDP的节点。 在Linux,Mac和Windows上提供闪电般的速度。 Node.JS中的神经网络
05-01
节点ipc 一个用于本地和远程进程间通信的nodejs模块,完全支持Linux,Mac和Windows。 它还支持从低级unix和Windows套接字到UDP和安全TLS和TCP套接字的所有形式的套接字通信。 Node.JS中复杂多进程神经网络的绝佳解决方案 npm安装node-ipc NPM统计 npm信息: GitHub信息: 编码信息: 构建信息: Mac和Linux: Windows: 套餐详情网站: GitHub.io网站。 这个网站的漂亮版本。 NPM模块。 node-ipc模块的npm页面。 这项工作是通过麻省理工学院执照许可的。 旧版本的节点 最新版本的node-ipc可以与--harmony标志一起使用。 不过,我们正式支持es5和es6支持节点v4和更高版本 测验 npm test将在istanbul上为node-ipc运行茉莉花测试,
NodeJS 进程间通信 - ipc实现
Annayo的博客
12-20 633
1.child_prcess.spawn(command, [args], { stdio: [null, null, null, 'ipc'} ) 创建一个有 ipc 通道的子进程。3.childProcess.on('message', message =>{}) 接受子进程发送过来的消息。5.process.on('message', message =>{}) 子进程接受父进程发送过来的消息。4.process.send() 子进程向 父进程发送消息;
开源无国界?vue-cli、node-ipc投毒事件分析
murphysec的博客
03-16 5686
简述 近日我们监测到 Vue.js 生态中的 vue-cli 遭遇供应链投毒,而被投毒node-ipc npm 上每周下载量超百万,影响非常广泛。 被投毒的情况如下: vue-cli是Vue.js 开发的标准工具,该工具被广泛应用于vue的快速开发 其依赖的node-ipc是用于本地和远程进程间通信的一个js模块,也用于支持linux,windows,mac等系统中的socket通信。 node-ipc作者近期在node-ipc的10.1.1-10.1.2版本添加了恶意JS,该JS.
Node 异常】完整教程解决运行编译uniapp项目时出现Error: Cannot find module ‘node-ipc
量化Mike
10-08 7540
Hbuilder App版IDE的插件不断更新,新版的部分存在不兼容旧版的。需要更新uniapp编译vue2、uniapp 编译vue3的插件。工具菜单-> 插件安装 -> uni-app编译。找到这个插件后把它卸载然后重新安装就OK了。
yarn install报错:error @achrinza/node-ipc@9.2.2: The engine “node“ is incompatible with this module
qq_39703664的博客
06-11 5605
yarn错误The engine “node“ is incompatible with this module
前端开源库-node-red-node-serialport
08-30
《前端开源库Node-Red-Node-Serialport详解》 在现代互联网开发中,前端技术不断发展壮大,而开源库的广泛使用为开发者提供了强大的工具集。本文将详细探讨一款名为"Node-Red-Node-Serialport"的前端开源库,它是...
node-windows-ipc:提供有关进程ipc的低级Win API函数,例如共享内存或管道
04-16
`node-windows-ipc`模块为Node.js开发者提供了一系列底层的Win API函数,使得他们能够利用共享内存和管道等机制进行高效、安全IPC。下面我们将详细探讨这些知识点。 1. **进程间通信(IPC)基础**: - IPC是不同...
node-gyp:Node.js 原生插件构建工具-开源
08-07
node-gyp 是一个用 Node.js 编写的跨平台命令行工具,用于为 Node.js 编译本机插件模块。 它含 Chromium 团队以前使用的 gyp-next 项目的供应商副本,扩展为支持 Node.js 原生插件的开发。 请注意,node-gyp 不...
intercom:通过在nodejs IPC通道上基于dnode-protocol的事件通信创建子进程,并具有针对所创建子进程生命周期的监视和控制功能
05-15
对讲机 通过在nodejs IPC通道上基于dnode-protocol的事件通信创建子进程,并具有针对所创建子进程生命周期的监视和控制功能 重要提示:根据对讲版本0.5.0,“退出”事件的行为已更改!!! 添加的是“关闭”事件,以直接替换旧的“退出”事件。 请参阅下面的详细信息。 安装对讲机 可以使用以下方法从NPM安装intercom : npm install intercom 使用对讲机 该代码几乎说明了一切:请参见示例目录,其中显示了可见和不可见的示例! 以下是对讲机使用的不可见示例。 父代码示例(intercom.js): var path = require ( 'path' ) , Child = require ( '../../lib/intercom' ) . EventChild ; var child = Child ( path . join
进程间通信 IPC :共享内存机制
12-30
进程间通信 IPC :共享内存机制
node-sass:Node.js 绑定到 libsass-开源
08-07
Node-sass 是一个为 Node.js 提供绑定到 LibSass 的库,LibSass 是流行的样式表预处理器 Sass 的 C 版本。 它允许您以惊人的速度将 .scss 文件本地编译为 css,并通过连接中间件自动编译。 自定义导入器允许以同步和...
node实现ipc父子进程通信
xrj1093431145的博客
12-17 2672
用js实现ipc父子进程通信 child.js子进程: process.on("message", (message) => { console.log(`get message father Send Data: ${message}`) process.send("Link is success") }) 父进程: const spawn = require('child_process').spawn const clickDemo = () => { const
创建vue以及报错解决error @achrinza/node-ipc@9.2.2: The engine “node“ is incompatible with this module. Expec
热门推荐
weixin_45917610的博客
12-27 3万+
创建vue并处理可能的报错问题
理解Nodejs中的进程间通信
m0_67614517的博客
10-17 600
⚠️ 只有在启动的子进程是 Node 进程时,子进程才会根据环境变量去连接对应的 IPC 通道,对于其他类型的子进程则无法实现进程间通信,除非其他进程也按着该约定去连接这个 IPC 通道。当我们的进程启动之后,操作系统会给每一个进程分配一个 PCB 控制块,PCB 中会有一个文件描述符表,存放当前进程所有的文件描述符,即当前进程打开的所有文件。并且它是在系统内核中完成的进程通信。调用 dup(3) 的时候,会打开新的最小描述符,也就是4,这个4指向了3所指向的文件,操作任意一个 fd 都是修改的一个文件。
数亿下载量的npm被“投毒”,前端开源将如何?
CSDN资讯
03-18 6967
开发者以node-ipc进行供应链投毒,再次引发安全问题大讨论
WG10正式启动!共话证券基金行业开源软件治理
smellycat000的专栏
07-06 953
聚焦源代码安全,网罗国内外最新资讯!6月28日,国家工业信息安全发展研究中心(以下简称“中心”)线上组织召开了证券基金行业信息技术应用创新联盟开源软件供应链安全工作组首次全体成员大会。开源软件供应链安全工作组(以下简称“WG10”)为证券基金行业信息技术应用创新联盟(以下简称“联盟”)下设工作组,由国家工业信息安全发展研究中心牵头,联合证券基金等行业用户、科技企业及...
node 18.9.0支持的achrinza/node-ipc
03-27
Node 18.9.0是Node.js的一个版本,而achrinza/node-ipc是一个Node.js模块,用于在Node.js进程之间进行进程间通信(IPC)。它提供了一种简单而强大的方式来实现进程之间的通信,可以用于在同一台机器上的不同进程之间进行通信,也可以用于不同机器上的进程之间进行通信。 该模块支持以下功能: 1. 基于事件的消息传递:可以通过发送和接收事件来进行进程间通信。 2. 多种通信模式:支持广播、点对点和请求-响应模式。 3. 自定义消息格式:可以定义自己的消息格式,以满足特定需求。 4. 进程间同步:可以使用锁和信号量等机制来实现进程间的同步操作。 5. 安全性:支持加密和身份验证等安全机制,以确保通信的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值