Популярный open-source пакет начал заменять данные российских пользователей на сердечки. Автора осудили за дискриминацию

Разработчик назвал вредоносный код «мирным протестом» против «спецоперации» на Украине.

Файл WITH-LOVE-FROM-america.txt. Скриншот BleepingComputer
Файл WITH-LOVE-FROM-america.txt. Скриншот BleepingComputer

Как сообщили BleepingComputer, 8 марта американский разработчик Брэндон Нозаки Миллер с ником RIAEvangelist выложил на npm и GitHub пакеты программного обеспечения с открытым исходным кодом с названиями Peacenotwar и oneday-test.

По его словам, они были способом «ненасильственного протеста» против «спецоперации» на Украине. Позднее пользователи заметили, что некоторые последние обновления популярной библиотеки node-ipc, также поддерживаемой этим разработчиком, запускают вредоносный код, удаляющий все данные с компьютера.

Код, представленный в node-ipc, маскировал своё назначение. Он определял IP-адрес и, если пользователь оказывался из России или Белоруссии, удалял их данные, заменяя на эмодзи сердца. Некоторые версии кода также включали модуль Peacenotwar, из-за которого пользователи видели всплывающий файл WITH-LOVE-FROM-america.txt («Из Америки с любовью»). Файл содержал «антивоенный» текст на нескольких языках.

Библиотеку node-ipc использовал и популярный фреймворк Vue. js для JavaScript. До этого случая он постоянно обновлял версии — то есть файлы разработчиков, которые пользовались фреймворком, могли быть удалены. После удаления данных с некоторых устройств пользователи обратились к сопровождающим проекта с просьбой отключить автоматическое обновление, сохранив старую безопасную версию.

Действия RIAEvangelist, который поддерживает более 40 пакетов в npm, вызвали критику пользователей. Они указали, что действия разработчика выходят за рамки простого «мирного протеста». Некоторые добавляли, что потеряли доверие к разработчику и комьюнити в целом.

Такое поведение выходит за рамки. Конечно, война — это плохо, но это не оправдывает такое поведение (удаление данных пользователей и создание странного файла на рабочем столе). Иди на***, иди к чёрту. Ты разрушил open-sourse сообщество. Теперь ты доволен?
Такое поведение выходит за рамки. Конечно, война — это плохо, но это не оправдывает такое поведение (удаление данных пользователей и создание странного файла на рабочем столе). Иди на***, иди к чёрту. Ты разрушил open-sourse сообщество. Теперь ты доволен?
Честно говоря, этот «активизм» просто в очередной раз демонстрирует, как в мире технологий не хватает деонтологии.
Честно говоря, этот «активизм» просто в очередной раз демонстрирует, как в мире технологий не хватает деонтологии.

Некоторые пользователи заметили, что разработчик удалял комментарии в обсуждении, и обвинили его в попытке спрятать предупреждения о вредоносном коде.

Эй, @RIAEvangelist, что ты пытаешься спрятать?
Эй, @RIAEvangelist, что ты пытаешься спрятать?
@RIAEvangelist, почему вы удаляете сообщения из заявки node-ipc, которые ясно показывают, что добавленный вами код удаляет/перезаписывает пользовательские файлы?
@RIAEvangelist, почему вы удаляете сообщения из заявки node-ipc, которые ясно показывают, что добавленный вами код удаляет/перезаписывает пользовательские файлы?

В рунете действия RIAEvangelist сравнили с «культурой отмены» и цензурой.

А вот это плохо. В опенсорс начали вставлять деструктивный код против России. Почему плохо?
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти зловреды работают как пуля - бездушно. По IP там, или таймзоне

Доверие теряется за мгновение. А восстанавливается годами или даже десятилетиями. Или не восстанавливается

🇬🇧 Some opensource projects have started to inject destructive code to do something bad with "Russian" IT. It's wrong!
• It's like censorship. Where is red line? Who are decision-makers?
• Destructive code is bad. Very bad. Unforgivable. Without conditions. War is bad, Very bad. Unforgivable. Without conditions. Unforgivable Curses.
• Malware isn't selective. It hit anybody. IP-address or timezone aren't right markers

Trust is lost in seconds. Trust is restored in decades. Or never.

https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9-jSpQ/htmlview
интересная история про канселинг

Как сообщили BleepingComputer со ссылкой на исследователей Snyk, версии node-ipc 10.1.1 и 10.1.2, заменяющие данные на сердечки, были удалены npm в течение 24 часов после публикации. Тем не менее, версия 11.0.0 и выше остаются доступными и по-прежнему содержат модуль Peacenotwar. «Если ваше приложение создано с использованием библиотеки node-ipc, убедитесь, что зависимость привязана к безопасной версии, такой как 9.2.1 (оказывается, 9.2.2 тоже не безобидна)», — порекомендовало издание.

104104
реклама
разместить
184 комментария

Перебежчики с TJ и местные либералы наверняка мне минуснут, но я более чем уверен, что Брэндон молчал в тряпочку, когда его страна в щепки разносила Югославию, Ирак, Ливию, Афганистан, которые даже не граничат с США. Ведь ЭТО ДРУГОЕ и стрелочка в эту сторону не поворачивается. Ну еще потому, что к Брендону в этом случае быстро бы подъехали домой ребята из FBI и отвезли бы поговорить о пособничестве «терроризму». Протестун херов.

202

Справедливости ради, в своё время в США, даже в том же Нью Йорке, проходили достаточно мощные антивоенные демонстрации против вторжения США в Ирак (там можно было) и многие, кто и сейчас против войны, например Бренсон, выходили и тогда.

63

Никогда не понимал логику типа «а вот асерикосы то, америкосы сё, им можно, а нам нельзя?!»

Друзья, если какой-то маньяк убил 10 человек, это не значит, что и вам можно убить хотя бы одного.

9

Теперь мы можем с уверенностью сказать, что не разносили в щепки. Мы наглядно увидели, что такое "разносить в щепки".

5

ну гуглится же все за 3 минуты

https://www.wsws.org/en/articles/1999/03/demo-m30.html
In the United States more than 2,000 Serbian-Americans and anti-war protesters demonstrated in the streets of New York City Saturday. Demonstrators carried signs that read "Stop bombing our parents" and "NATO out of Macedonia" as they marched down Fifth Avenue. Hundreds more protested in San Francisco on the West Coast.

https://en.wikipedia.org/wiki/Protests_against_the_2011_military_intervention_in_Libya

https://indypendent.org/2018/10/the-afghan-war-continues-so-do-protests/

3

Вы забыли про Японию и про Германию