Il 21/03/22 11:25, franchi@modula.net ha scritto:
Salve.trovo sul Nist che il il pacchetto prima delle correzioni sovrascriveva arbitrariamente files dei pc connessi da determinati indirizzi IP con un "heart emoji".Qui c'è anche il codice incriminato: https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370Il problema, secondo snyk.io, proseguirebbe, per altra via, anche con la versione 11.0.0 e successive.Non sarebbe un bug ma un comportamento intenzionale, e quindi, tecnicamente, un malware.
...infatti; secondo me non c'è nessuna violazione della licenza, il problema è che deve essere patchato per rimuovere il malware dal sorgente o ancor meglio rimosso direttamente dai repositories.
Piviul