CVE-2022-23812

Versões do node-ipc de 10.1.1 a 10.1.2

O problema diz respeito a um código malicioso incorporado no pacote node-ipc, que tem como alvo usuários com endereços IP localizados na Rússia ou na Bielorrússia. Esse código sobrescreve arquivos com um emoji de coração. O pacote tem cerca de um milhão de downloads por semana e é usado como dependência por 354 pacotes, incluindo o vue-cli. Todos os projetos com o node-ipc em suas dependências também são afetados. O código malicioso é ativado com uma probabilidade de 25% e afeta sistemas com endereços IP da Rússia ou da Bielorrússia.

Para as versões 10.1.1 a 10.1.2 do node-ipc, atualize para a versão 10.1.3 ou posterior para resolver o problema.

Como solução temporária, considere desativar o uso do pacote node-ipc até que um patch esteja disponível.

Restrinja o acesso ao pacote node-ipc para minimizar o risco de exploração.

Evite usar o pacote node-ipc em projetos que exijam altos padrões de segurança até que o problema seja totalmente resolvido.