Популярный open-source пакет начал заменять данные российских пользователей на сердечки. Автора осудили за дискриминацию Статьи редакции

Разработчик назвал вредоносный код «мирным протестом» против «спецоперации» на Украине.

Файл WITH-LOVE-FROM-america.txt. Скриншот BleepingComputer

Как сообщили BleepingComputer, 8 марта американский разработчик Брэндон Нозаки Миллер с ником RIAEvangelist выложил на npm и GitHub пакеты программного обеспечения с открытым исходным кодом с названиями Peacenotwar и oneday-test.

По его словам, они были способом «ненасильственного протеста» против «спецоперации» на Украине. Позднее пользователи заметили, что некоторые последние обновления популярной библиотеки node-ipc, также поддерживаемой этим разработчиком, запускают вредоносный код, удаляющий все данные с компьютера.

Код, представленный в node-ipc, маскировал своё назначение. Он определял IP-адрес и, если пользователь оказывался из России или Белоруссии, удалял их данные, заменяя на эмодзи сердца. Некоторые версии кода также включали модуль Peacenotwar, из-за которого пользователи видели всплывающий файл WITH-LOVE-FROM-america.txt («Из Америки с любовью»). Файл содержал «антивоенный» текст на нескольких языках.

Библиотеку node-ipc использовал и популярный фреймворк Vue. js для JavaScript. До этого случая он постоянно обновлял версии — то есть файлы разработчиков, которые пользовались фреймворком, могли быть удалены. После удаления данных с некоторых устройств пользователи обратились к сопровождающим проекта с просьбой отключить автоматическое обновление, сохранив старую безопасную версию.

Действия RIAEvangelist, который поддерживает более 40 пакетов в npm, вызвали критику пользователей. Они указали, что действия разработчика выходят за рамки простого «мирного протеста». Некоторые добавляли, что потеряли доверие к разработчику и комьюнити в целом.

Такое поведение выходит за рамки. Конечно, война — это плохо, но это не оправдывает такое поведение (удаление данных пользователей и создание странного файла на рабочем столе). Иди на***, иди к чёрту. Ты разрушил open-sourse сообщество. Теперь ты доволен?
Честно говоря, этот «активизм» просто в очередной раз демонстрирует, как в мире технологий не хватает деонтологии.

Некоторые пользователи заметили, что разработчик удалял комментарии в обсуждении, и обвинили его в попытке спрятать предупреждения о вредоносном коде.

Эй, @RIAEvangelist, что ты пытаешься спрятать?
@RIAEvangelist, почему вы удаляете сообщения из заявки node-ipc, которые ясно показывают, что добавленный вами код удаляет/перезаписывает пользовательские файлы?

В рунете действия RIAEvangelist сравнили с «культурой отмены» и цензурой.

А вот это плохо. В опенсорс начали вставлять деструктивный код против России. Почему плохо?
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти злов...
А вот это плохо. В опенсорс начали вставлять деструктивный код против России. Почему плохо?
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти зловреды работают как пуля - бездушно. По IP там, или таймзоне

Доверие теряется за мгновение. А восстанавливается годами или даже десятилетиями. Или не восстанавливается

🇬🇧 Some opensource projects have started to inject destructive code to do something bad with "Russian" IT. It's wrong!
• It's like censorship. Where is red line? Who are decision-makers?
• Destructive code is bad. Very bad. Unforgivable. Without conditions. War is bad, Very bad. Unforgivable. Without conditions. Unforgivable Curses.
• Malware isn't selective. It hit anybody. IP-address or timezone aren't right markers

Trust is lost in seconds. Trust is restored in decades. Or never.

https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9-jSpQ/htmlview
интересная история про канселинг

Как сообщили BleepingComputer со ссылкой на исследователей Snyk, версии node-ipc 10.1.1 и 10.1.2, заменяющие данные на сердечки, были удалены npm в течение 24 часов после публикации. Тем не менее, версия 11.0.0 и выше остаются доступными и по-прежнему содержат модуль Peacenotwar. «Если ваше приложение создано с использованием библиотеки node-ipc, убедитесь, что зависимость привязана к безопасной версии, такой как 9.2.1 (оказывается, 9.2.2 тоже не безобидна)», — порекомендовало издание.

0
184 комментария
Написать комментарий...
Коля Павельев

Это цветочки. Если конфликт выйдет за пределы Украины, амеры в один прекрасный день обновят сам git (мускул или что угодно ещё) до свежей версии и добавят в него эксплоиты для выхода за пределы песочницы докера. И сделают то же самое со всеми сервами, а не только с теми, у кого есть один популярный пакет. А могут и пожечь даже оборудование, увеличив частоты, что в эпоху запрета на импорт электроники равносильно откатыванию в каменный век, но приведёт к полному развалу системы доверия и к США и к опенсорсу в частности, так что это будет уже крайний, но вполне возможный сценарий.

Ответить
Развернуть ветку
Котик Котиков

Git открытый. Эксплоиты отловят. Хранить код на githab.com не обязательно. Как и обновлять локально версию git

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
181 комментарий
Раскрывать всегда