Разработка
TJ

Популярный open-source пакет начал заменять данные российских пользователей на сердечки. Автора осудили за дискриминацию Статьи редакции

Разработчик назвал вредоносный код «мирным протестом» против «спецоперации» на Украине.

Файл WITH-LOVE-FROM-america.txt. Скриншот BleepingComputer

Как сообщили BleepingComputer, 8 марта американский разработчик Брэндон Нозаки Миллер с ником RIAEvangelist выложил на npm и GitHub пакеты программного обеспечения с открытым исходным кодом с названиями Peacenotwar и oneday-test.

По его словам, они были способом «ненасильственного протеста» против «спецоперации» на Украине. Позднее пользователи заметили, что некоторые последние обновления популярной библиотеки node-ipc, также поддерживаемой этим разработчиком, запускают вредоносный код, удаляющий все данные с компьютера.

Код, представленный в node-ipc, маскировал своё назначение. Он определял IP-адрес и, если пользователь оказывался из России или Белоруссии, удалял их данные, заменяя на эмодзи сердца. Некоторые версии кода также включали модуль Peacenotwar, из-за которого пользователи видели всплывающий файл WITH-LOVE-FROM-america.txt («Из Америки с любовью»). Файл содержал «антивоенный» текст на нескольких языках.

Библиотеку node-ipc использовал и популярный фреймворк Vue. js для JavaScript. До этого случая он постоянно обновлял версии — то есть файлы разработчиков, которые пользовались фреймворком, могли быть удалены. После удаления данных с некоторых устройств пользователи обратились к сопровождающим проекта с просьбой отключить автоматическое обновление, сохранив старую безопасную версию.

Действия RIAEvangelist, который поддерживает более 40 пакетов в npm, вызвали критику пользователей. Они указали, что действия разработчика выходят за рамки простого «мирного протеста». Некоторые добавляли, что потеряли доверие к разработчику и комьюнити в целом.

Такое поведение выходит за рамки. Конечно, война — это плохо, но это не оправдывает такое поведение (удаление данных пользователей и создание странного файла на рабочем столе). Иди на***, иди к чёрту. Ты разрушил open-sourse сообщество. Теперь ты доволен?
Честно говоря, этот «активизм» просто в очередной раз демонстрирует, как в мире технологий не хватает деонтологии.

Некоторые пользователи заметили, что разработчик удалял комментарии в обсуждении, и обвинили его в попытке спрятать предупреждения о вредоносном коде.

Эй, @RIAEvangelist, что ты пытаешься спрятать?
@RIAEvangelist, почему вы удаляете сообщения из заявки node-ipc, которые ясно показывают, что добавленный вами код удаляет/перезаписывает пользовательские файлы?

В рунете действия RIAEvangelist сравнили с «культурой отмены» и цензурой.

Эшер II
А вот это плохо. В опенсорс начали вставлять деструктивный код против России. Почему плохо?
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти злов...
А вот это плохо. В опенсорс начали вставлять деструктивный код против России. Почему плохо?
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти зловреды работают как пуля - бездушно. По IP там, или таймзоне

Доверие теряется за мгновение. А восстанавливается годами или даже десятилетиями. Или не восстанавливается

🇬🇧 Some opensource projects have started to inject destructive code to do something bad with "Russian" IT. It's wrong!
• It's like censorship. Where is red line? Who are decision-makers?
• Destructive code is bad. Very bad. Unforgivable. Without conditions. War is bad, Very bad. Unforgivable. Without conditions. Unforgivable Curses.
• Malware isn't selective. It hit anybody. IP-address or timezone aren't right markers

Trust is lost in seconds. Trust is restored in decades. Or never.

https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9-jSpQ/htmlview
анатолий ноготочки💅 @A_Kapustin
интересная история про канселинг

Как сообщили BleepingComputer со ссылкой на исследователей Snyk, версии node-ipc 10.1.1 и 10.1.2, заменяющие данные на сердечки, были удалены npm в течение 24 часов после публикации. Тем не менее, версия 11.0.0 и выше остаются доступными и по-прежнему содержат модуль Peacenotwar. «Если ваше приложение создано с использованием библиотеки node-ipc, убедитесь, что зависимость привязана к безопасной версии, такой как 9.2.1 (оказывается, 9.2.2 тоже не безобидна)», — порекомендовало издание.

#днрилнр #opensource

25 показов
27K открытий
3 репоста
0
184 комментария
Написать комментарий...
Показать всё . Вы видите только часть дискуссии
 Bruce Robertson

Перебежчики с TJ и местные либералы наверняка мне минуснут, но я более чем уверен, что Брэндон молчал в тряпочку, когда его страна в щепки разносила Югославию, Ирак, Ливию, Афганистан, которые даже не граничат с США. Ведь ЭТО ДРУГОЕ и стрелочка в эту сторону не поворачивается. Ну еще потому, что к Брендону в этом случае быстро бы подъехали домой ребята из FBI и отвезли бы поговорить о пособничестве «терроризму». Протестун херов.

Ответить
Развернуть ветку
Oleg Milyaev

Если бы молчал: https://twitter.com/malagurski/status/1177613909425086466?lang=en

Boris Malagurski @malagurski
Joe Biden publicly tells Yugoslav President in 1998 that if he doesn’t do as he’s told, the US will bomb his country (which is what the US did in 1999).

#MSM: Biden is a hero!

Donald Trump asks Ukrainian President for information.

MSM: Trump is the devil!
Ответить
Развернуть ветку
Показать 184 комментария . Вы видите только часть дискуссии
Написать комментарий...
181 комментарий
Раскрывать всегда