headless 曰く、

Node.js モジュールの node-ipc で、ホストシステムの IP アドレスがロシアまたはベラルーシであることを検出すると上書き可能なファイルの内容をすべてハートの絵文字に置き換えるコードがメインテナーにより追加され、深刻な脆弱性として CVE にも登録されることになった (The Register の記事、 NVD — CVE-2022-23812、 GitHub のアドバイザリー、 Snyk の脆弱性情報)。

脆弱性のあるバージョンは 10.1.1 および 10.1.2 となっており、GitHub のアドバイザリーではメインテナーにより導入された悪意あるコードに対して脆弱と説明されている。問題のコードはメインテナー自らバージョン 10.1.3 で削除したとのこと。現在のところ安定版ブランチと考えられているのは 9.x であり、この脆弱性の影響を受けた人は少ないとみられる。ベラルーシで活動する米国のNGOが影響を受けたとの報告も上がっているが、GitHub の要望でメッセージは削除されており、真偽も不明だ。

一方、その後リリースされたバージョン 9.2.2 および 11 では peacenotwar と呼ばれるモジュールが追加されており、ユーザーのデスクトップに 5 か国語の停戦呼び掛けを含むテキストファイル WITH-LOVE-FROM-AMERICA.txt を生成する。なお、npm ではバージョン 10.1.1 ～ 10.1.3 および 9.2.2 が削除されている。