开源无国界？vue-cli、node-ipc被投毒事件分析

简述近日我们监测到 Vue.js 生态中的 vue-cli 包遭遇供应链投毒，而被投毒的 node-ipc 包在npm 上每周下载量超百万，影响非常广泛。被投毒的情况如下：vue-cli是Vue.js 开发的标准工具，该工具被广泛应用于vue的快速开发 其依赖的node-ipc是用于本地和远程进程间通信的一个js模块，也用于支持linux，windows，mac等系统中的socket通信。 node-ipc包的作者近期在node-ipc的10.1.1-10.1.2版本添加了恶意JS，该JS.