开源无国界?vue-cli、node-ipc被投毒事件分析
简述近日我们监测到 Vue.js 生态中的 vue-cli 包遭遇供应链投毒,而被投毒的 node-ipc 包在npm 上每周下载量超百万,影响非常广泛。被投毒的情况如下:vue-cli是Vue.js 开发的标准工具,该工具被广泛应用于vue的快速开发 其依赖的node-ipc是用于本地和远程进程间通信的一个js模块,也用于支持linux,windows,mac等系统中的socket通信。 node-ipc包的作者近期在node-ipc的10.1.1-10.1.2版本添加了恶意JS,该JS.