node-ipc удаляет файлы, если видит IP адрес в заданном списке.
Вот сам вредоносный код: https://github.com/RIAEvangelist/node-ipc/blob/847047cf7f81ab08352038b2204f0e7633449580/dao/ssl-geospec.js
Вот менее вредоносный (только грузит процессор, если видит в js таймзону из списка): https://github.com/medikoo/es5-ext/commit/3beace4b3d00f02da61b72dd328f90cf069d46de попадает в https://www.npmjs.com/package/es5-ext
Соответственно, если обновляетесь через npm или подобное, то имейте в виду.
>>> Подробности