Популярный open-source пакет начал заменять данные российских пользователей на сердечки. Автора осудили за дискриминацию Статьи редакции
Разработчик назвал вредоносный код «мирным протестом» против «спецоперации» на Украине.
Как сообщили BleepingComputer, 8 марта американский разработчик Брэндон Нозаки Миллер с ником RIAEvangelist выложил на npm и GitHub пакеты программного обеспечения с открытым исходным кодом с названиями Peacenotwar и oneday-test.
По его словам, они были способом «ненасильственного протеста» против «спецоперации» на Украине. Позднее пользователи заметили, что некоторые последние обновления популярной библиотеки node-ipc, также поддерживаемой этим разработчиком, запускают вредоносный код, удаляющий все данные с компьютера.
Код, представленный в node-ipc, маскировал своё назначение. Он определял IP-адрес и, если пользователь оказывался из России или Белоруссии, удалял их данные, заменяя на эмодзи сердца. Некоторые версии кода также включали модуль Peacenotwar, из-за которого пользователи видели всплывающий файл WITH-LOVE-FROM-america.txt («Из Америки с любовью»). Файл содержал «антивоенный» текст на нескольких языках.
Библиотеку node-ipc использовал и популярный фреймворк Vue. js для JavaScript. До этого случая он постоянно обновлял версии — то есть файлы разработчиков, которые пользовались фреймворком, могли быть удалены. После удаления данных с некоторых устройств пользователи обратились к сопровождающим проекта с просьбой отключить автоматическое обновление, сохранив старую безопасную версию.
Действия RIAEvangelist, который поддерживает более 40 пакетов в npm, вызвали критику пользователей. Они указали, что действия разработчика выходят за рамки простого «мирного протеста». Некоторые добавляли, что потеряли доверие к разработчику и комьюнити в целом.
Некоторые пользователи заметили, что разработчик удалял комментарии в обсуждении, и обвинили его в попытке спрятать предупреждения о вредоносном коде.
В рунете действия RIAEvangelist сравнили с «культурой отмены» и цензурой.
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти злов...
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти зловреды работают как пуля - бездушно. По IP там, или таймзоне
✅ Доверие теряется за мгновение. А восстанавливается годами или даже десятилетиями. Или не восстанавливается
🇬🇧 Some opensource projects have started to inject destructive code to do something bad with "Russian" IT. It's wrong!
• It's like censorship. Where is red line? Who are decision-makers?
• Destructive code is bad. Very bad. Unforgivable. Without conditions. War is bad, Very bad. Unforgivable. Without conditions. Unforgivable Curses.
• Malware isn't selective. It hit anybody. IP-address or timezone aren't right markers
✅ Trust is lost in seconds. Trust is restored in decades. Or never.
https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9-jSpQ/htmlview
Как сообщили BleepingComputer со ссылкой на исследователей Snyk, версии node-ipc 10.1.1 и 10.1.2, заменяющие данные на сердечки, были удалены npm в течение 24 часов после публикации. Тем не менее, версия 11.0.0 и выше остаются доступными и по-прежнему содержат модуль Peacenotwar. «Если ваше приложение создано с использованием библиотеки node-ipc, убедитесь, что зависимость привязана к безопасной версии, такой как 9.2.1 (оказывается, 9.2.2 тоже не безобидна)», — порекомендовало издание.
Сие лишний раз доказывает, что среди ит-шников дураков не меньше, чем в других сферах.
Они просто искренне не понимают, как такое возможно, что граждане не могут повлиять на свое правительство, там же даже меньшинство качает свои права будь здоров, те же желтые жилеты Макрона раком поставили, а раз не влияют, значит согласны все до единого.
Европейцу понять россиянина так же сложно, как раба римской империи...
А мне казалось из 25 требований выполнили частично только одно: отодвинули пенсионную реформу
https://m.gazeta.ru/business/2018/12/03/12081361.shtml
"мораторий" - это тоже отсрочка реализации. Я конечно же жёлтых жилетов поддерживаю, но власть правдами и неправдами пропихнет свое решение. Лучше выйти и получить отсрочку чем промолчать.
А вы думали, борьба за свои права должны быть раз в несколько поколений как у нас?
Нет конечно. Для меня как раз выход против повышения пенсионного возраста и против повышения ЖКХ, бензина - это самые нормальные и правильные протесты. Протестовать против плохого за все хорошее - бессмысленно.
Но власть всегда добьется своего. Просто потому что контролирует СМИ и избирательную систему.
С вашим пессимизмом, мир бы даже до феодализма не докатился из рабовладельчества.
Скорее у меня есть понимание что надо менять не власть, а систему. И когда это понимание придет ко многим то все возможно)