Unavailable For Legal Reasons - GET https://registry.npmmirror.com/peacenotwar - [UNAVAILABLE_FOR_LEGAL_REASONS] peacenotwar was blocked,reason: security....
因node-ipc開源作者以反戰(zhàn)之名在代碼上投毒,依賴項會在桌面以及其他位置創(chuàng)建一個叫做“WITH-LOVE-FROM-AMERICA.txt”的文件首尼,如果ip是來自白俄羅斯和俄羅斯挑庶,會嘗試覆蓋當(dāng)前目錄、父目錄和根目錄的所有文件软能。作者還特意新建了一個 peacenotwar 倉庫來宣傳他的反戰(zhàn)理念迎捺,而剛好vue-cli有引用了node-ipc模塊,導(dǎo)致在npm install時出錯
解決方法:
- 將package.json 文件中的node-ipc版本降低或指定查排,如9.2.1
- 刪除node_modules / peacenotwar 這個目錄
如果發(fā)現(xiàn)以上方法不能用凳枝,可以試下下面的辦法
發(fā)現(xiàn)就算改 node-ipc.js 以及 刪除 peacenotwar 也不行。淘寶npm鏡像已經(jīng)把 node-ipc 標(biāo)記為 有毒有害了跋核。所以只能強制指定前一個版本岖瑰。registry.npmmirror.com (淘寶鏡像)才認(rèn)為是安全的
此外,Vue-cli 昨天發(fā)布了新版本5.0.2(https://github.com/vuejs/vue-cli/blob/dev/CHANGELOG.md)砂代,將 node-ipc 版本鎖定到 v9.2.1蹋订,用戶可以直接升級。據(jù)悉刻伊,受惡意代碼受影響的 node-ipc 版本為 v10.1.3 辅辩,已經(jīng)被作者刪除或被 NPM 撤下,而 WITH-LOVE-FROM-AMERICA.txt 文件是由 v11.0.0 版本引入的娃圆。
前有 Node玫锋、React、pytorch讼呢、GitHub 等官網(wǎng)聲明支援烏克蘭撩鹿,后有個人開發(fā)者進行供應(yīng)鏈投毒,技術(shù)不持政治立場就是個笑話悦屏。
