Популярный open-source пакет начал заменять данные российских пользователей на сердечки. Автора осудили за дискриминацию Статьи редакции
Разработчик назвал вредоносный код «мирным протестом» против «спецоперации» на Украине.
Как сообщили BleepingComputer, 8 марта американский разработчик Брэндон Нозаки Миллер с ником RIAEvangelist выложил на npm и GitHub пакеты программного обеспечения с открытым исходным кодом с названиями Peacenotwar и oneday-test.
По его словам, они были способом «ненасильственного протеста» против «спецоперации» на Украине. Позднее пользователи заметили, что некоторые последние обновления популярной библиотеки node-ipc, также поддерживаемой этим разработчиком, запускают вредоносный код, удаляющий все данные с компьютера.
Код, представленный в node-ipc, маскировал своё назначение. Он определял IP-адрес и, если пользователь оказывался из России или Белоруссии, удалял их данные, заменяя на эмодзи сердца. Некоторые версии кода также включали модуль Peacenotwar, из-за которого пользователи видели всплывающий файл WITH-LOVE-FROM-america.txt («Из Америки с любовью»). Файл содержал «антивоенный» текст на нескольких языках.
Библиотеку node-ipc использовал и популярный фреймворк Vue. js для JavaScript. До этого случая он постоянно обновлял версии — то есть файлы разработчиков, которые пользовались фреймворком, могли быть удалены. После удаления данных с некоторых устройств пользователи обратились к сопровождающим проекта с просьбой отключить автоматическое обновление, сохранив старую безопасную версию.
Действия RIAEvangelist, который поддерживает более 40 пакетов в npm, вызвали критику пользователей. Они указали, что действия разработчика выходят за рамки простого «мирного протеста». Некоторые добавляли, что потеряли доверие к разработчику и комьюнити в целом.
Некоторые пользователи заметили, что разработчик удалял комментарии в обсуждении, и обвинили его в попытке спрятать предупреждения о вредоносном коде.
В рунете действия RIAEvangelist сравнили с «культурой отмены» и цензурой.
Как сообщили BleepingComputer со ссылкой на исследователей Snyk, версии node-ipc 10.1.1 и 10.1.2, заменяющие данные на сердечки, были удалены npm в течение 24 часов после публикации. Тем не менее, версия 11.0.0 и выше остаются доступными и по-прежнему содержат модуль Peacenotwar. «Если ваше приложение создано с использованием библиотеки node-ipc, убедитесь, что зависимость привязана к безопасной версии, такой как 9.2.1 (оказывается, 9.2.2 тоже не безобидна)», — порекомендовало издание.
Комментарий недоступен
Причем тут свобода слова если они выступают против войны? Любой кто в наше время поддерживает отнятие жизни любыми способами просто конченная мразь.
Комментарий недоступен
Как помощь в защите суверенитета страны. Там даже наступательное оружие не дают по крайней мере масштабно и с оглаской.
Комментарий недоступен
Джавелин в этом случае и есть оборонительное оружие. Или вы думаете что Украинцы сейчас на РФ нападут?
Комментарий недоступен
Мне бы хотелось увидеть такие видео, а то первый раз про слышу подвалы и обстрел своих. Есть пруфы?
Комментарий недоступен
Имеющий глаза да увидит
Это средства защиты от захватчиков, не наступательное вооружение
Комментарий недоступен
Эм, любое оружие отнимает жизнь. Соотвественно любой кто использует оружие кто по твоей логике?
но эта помощь поддерживает отнятие жизни
А. Понятно. Отнимать жизни за суверенитет - это другое
Предлог всегда можно найти.
Сегодня одно, завтра потому что форма лица неправильная.
Верно, нашли же с чего начать войну.
Комментарий недоступен
Да, в Крыме сплошь и рядом нацыки бушевали, если бы Россия не анексировала то хз чем бы это могло обернутся для всего мира!1
Комментарий недоступен
Хмм
А не вернуть ли нам преступно проебаный Кенингсберг - подумала Германия.
А не провести ли нам референдум о присоединении к Польше - подумали белорусские жители Гродно и Бреста.
Комментарий удален модератором
Комментарий удален модератором
Комментарий недоступен