peacenotwar

この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。 出典を追加して記事の信頼性向上にご協力ください。（このテンプレートの使い方） 出典検索?: "Peacenotwar" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL (2023年5月)

peacenotwarは、ブランドン・ミラーが戦争に抗議するための開発したプロテストウェアの1つ。2022年2月にnpmモジュール node-ipc のアップデートとして依存関係に追加された。

2022年3月7日から8日にかけて、 npmモジュールのひとつ node-ipc のメンテナである Brandon Nozaki Miller がロシアによるウクライナ侵攻の抗議の一環として、ロシアとベラルーシのシステムを標的とした悪意あるコードを含む2つのアップデートをリリースした。これらはコードインジェクションとしてCVE識別番号 CVE-2022-23812 が付与された。

その1週間後、 Brandon Nozaki Miller は上記2つのアップデートを peacenotwar モジュールとして、 node-ipc の依存関係に追加した。

peacenotwar モジュールは影響を受けたマシンのデスクトップに WITH-LOVE-FROM-AMERICA.txt というテキストファイルを作成し、ロシアによるウクライナ侵攻に抗議するメッセージを記録し、それらを使用するサーバに DoS攻撃 をもたらす npmパッケージ (colors) の依存関係をインポートしてしまうため、知らない間にウクライナ侵攻抗議に参加してしまうことになる。

peacenotwar モジュールが追加された node-ipc は多くの一般的なソフトウェアの依存関係として使用されているため、多くのプロジェクトに被害を与えている。

その中には JavaScript で人気のフロントエンドフレームワーク Vue.js も含まれ、 Unity Hub 3.1 も影響を受けたが後のパッチで修正された。