Популярный open-source пакет начал заменять данные российских пользователей на сердечки. Автора осудили за дискриминацию Статьи редакции
Разработчик назвал вредоносный код «мирным протестом» против «спецоперации» на Украине.
Как сообщили BleepingComputer, 8 марта американский разработчик Брэндон Нозаки Миллер с ником RIAEvangelist выложил на npm и GitHub пакеты программного обеспечения с открытым исходным кодом с названиями Peacenotwar и oneday-test.
По его словам, они были способом «ненасильственного протеста» против «спецоперации» на Украине. Позднее пользователи заметили, что некоторые последние обновления популярной библиотеки node-ipc, также поддерживаемой этим разработчиком, запускают вредоносный код, удаляющий все данные с компьютера.
Код, представленный в node-ipc, маскировал своё назначение. Он определял IP-адрес и, если пользователь оказывался из России или Белоруссии, удалял их данные, заменяя на эмодзи сердца. Некоторые версии кода также включали модуль Peacenotwar, из-за которого пользователи видели всплывающий файл WITH-LOVE-FROM-america.txt («Из Америки с любовью»). Файл содержал «антивоенный» текст на нескольких языках.
Библиотеку node-ipc использовал и популярный фреймворк Vue. js для JavaScript. До этого случая он постоянно обновлял версии — то есть файлы разработчиков, которые пользовались фреймворком, могли быть удалены. После удаления данных с некоторых устройств пользователи обратились к сопровождающим проекта с просьбой отключить автоматическое обновление, сохранив старую безопасную версию.
Действия RIAEvangelist, который поддерживает более 40 пакетов в npm, вызвали критику пользователей. Они указали, что действия разработчика выходят за рамки простого «мирного протеста». Некоторые добавляли, что потеряли доверие к разработчику и комьюнити в целом.
Некоторые пользователи заметили, что разработчик удалял комментарии в обсуждении, и обвинили его в попытке спрятать предупреждения о вредоносном коде.
В рунете действия RIAEvangelist сравнили с «культурой отмены» и цензурой.
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти злов...
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти зловреды работают как пуля - бездушно. По IP там, или таймзоне
✅ Доверие теряется за мгновение. А восстанавливается годами или даже десятилетиями. Или не восстанавливается
🇬🇧 Some opensource projects have started to inject destructive code to do something bad with "Russian" IT. It's wrong!
• It's like censorship. Where is red line? Who are decision-makers?
• Destructive code is bad. Very bad. Unforgivable. Without conditions. War is bad, Very bad. Unforgivable. Without conditions. Unforgivable Curses.
• Malware isn't selective. It hit anybody. IP-address or timezone aren't right markers
✅ Trust is lost in seconds. Trust is restored in decades. Or never.
https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9-jSpQ/htmlview
Как сообщили BleepingComputer со ссылкой на исследователей Snyk, версии node-ipc 10.1.1 и 10.1.2, заменяющие данные на сердечки, были удалены npm в течение 24 часов после публикации. Тем не менее, версия 11.0.0 и выше остаются доступными и по-прежнему содержат модуль Peacenotwar. «Если ваше приложение создано с использованием библиотеки node-ipc, убедитесь, что зависимость привязана к безопасной версии, такой как 9.2.1 (оказывается, 9.2.2 тоже не безобидна)», — порекомендовало издание.
Перебежчики с TJ и местные либералы наверняка мне минуснут, но я более чем уверен, что Брэндон молчал в тряпочку, когда его страна в щепки разносила Югославию, Ирак, Ливию, Афганистан, которые даже не граничат с США. Ведь ЭТО ДРУГОЕ и стрелочка в эту сторону не поворачивается. Ну еще потому, что к Брендону в этом случае быстро бы подъехали домой ребята из FBI и отвезли бы поговорить о пособничестве «терроризму». Протестун херов.
Справедливости ради, в своё время в США, даже в том же Нью Йорке, проходили достаточно мощные антивоенные демонстрации против вторжения США в Ирак (там можно было) и многие, кто и сейчас против войны, например Бренсон, выходили и тогда.
Я бы тоже попротестовал в Нью-Йорке, это почетно и безопасно. А реально идейные пусть приезжают в Россию и протестуют против Путина здесь. Я потом им даже передачки привезу. Ну или фрукты в больничку. Ну или на памятник скинусь. Как повезёт. Я протестовал здесь, правда когда за это еще не убивали. А то что сделал этот мудак, это пакостничество и нацизм. А еще разрушение оупенсорс сообщества. Дизреспект ему. А другим урок обновляться только вручную и только на проверенные версии. Ну и сверять хэши, разумеется, время нынче такое.
А сейчас кого-то убили, есть пруфы? И там выше фото у комментаторов с дубинками и перцовыми баллончиками - это другое, в москве опаснее?
Вы реально добросовестно заблуждаетесь, не видя разницы между мирными протестами против коррупции, например, и банальным мародерством в Фергюсоне? Или пытаетесь манипулировать, демонстрируя фотку разгонов дубинками и перцем? Так я даже поддерживаю действия полиции в том случае, люди там не протестовали, а тупо разграбляли и разрушали город, били машины невинных людей. В общем, занимались вредительством, как и «герой» данной статьи. А что касается убийств, есть громкие фамилии: Немцов, Политковская, а есть менее известные, например, из расследования команды Навального и Bellingcat. Или вам нужны пруфы в виде решений суда, где все судьи назначаются самим дедом?
Во-первых фотку демонстрировал не я.
Во-вторых манипуляцией кажется занимаетесь вы, своим комментарием создавая мнение, что за протесты калечат и убивают. Есть пруфы что кого-то убили в ходе протестов против войны? Или хотя бы дали уголовный срок? Овсянниковой вы фрукты в больничку повезете или на памятник скинетесь?
Я всего лишь хочу подчеркнуть, что стенания по поводу "у нас тут убьют, на бутылку посадят и вообще на улицу страшно выходить" - не более чем оправдание и выученая беспомощность. Все митинги пытаются подавлять, во всех странах. Но в россии они подавлены еще на уровне мыслей
По поводу героя статьи - осуждаю. Глупо и неэффективно. Но при этом я так же осуждаю и хейт в его сторону. Проект его, он его бесплатно написал и выложил. Имеет полное право использовать его в том числе и для высказывания своей позиции
Позицию высказывать имеет право, а удалять чужие файлы — это уголовное преступление и в США тоже.