Интернет
Анна Павлова

Популярный open-source-пакет начал заменять данные российских пользователей на сердечки. Автора осудили за дискриминацию

Разработчик назвал вредоносный код «мирным протестом» против «спецоперации» на Украине.

Файл WITH-LOVE-FROM-america.txt. Скриншот BleepingComputer

8 марта американский разработчик Брэндон Нозаки Миллер с ником RIAEvangelist выложил на npm и GitHub пакеты программного обеспечения с открытым исходным кодом с названиями Peacenotwar и oneday-test. По его словам, они были способом «ненасильственного протеста» против «спецоперации» на Украине. Позднее пользователи заметили, что некоторые последние обновления популярной библиотеки node-ipc, также поддерживаемой этим разработчиком, запускают вредоносный код, удаляющий все данные с компьютера.

Код, представленный в node-ipc, маскировал своё назначение. Он определял IP-адрес и, если пользователь оказывался из России или Белоруссии, удалял их данные, заменяя на эмодзи сердца. Некоторые версии кода также включали модуль Peacenotwar, из-за которого пользователи видели всплывающий файл WITH-LOVE-FROM-america. txt («Из Америки с любовью») . Файл содержал «антивоенный» текст на нескольких языках.

Библиотеку node-ipc использовал и популярный фреймворк Vue.js для JavaScript. До этого случая он постоянно обновлял версии — то есть файлы разработчиков, которые пользовались фреймворком, могли быть удалены. После удаления данных с некоторых устройств пользователи обратились к сопровождающим проекта с просьбой отключить автоматическое обновление, сохранив старую безопасную версию.

Действия RIAEvangelist, который поддерживает более 40 пакетов в npm, вызвали критику пользователей. Они указали, что действия разработчика выходят за рамки простого «мирного протеста». Некоторые добавляли, что потеряли доверие к разработчику и комьюнити в целом.

Такое поведение выходит за рамки. Конечно, война — это плохо, но это не оправдывает такое поведение (удаление данных пользователей и создание странного файла на рабочем столе). Иди на***, иди к чёрту. Ты разрушил open-source сообщество. Теперь ты доволен?

Честно говоря, этот «активизм» просто в очередной раз демонстрирует, как в мире технологий не хватает деонтологии

Некоторые пользователи заметили, что разработчик удалял комментарии в обсуждении, и обвинили его в попытке спрятать предупреждения о вредоносном коде.

Эй, @RIAEvangelist, что ты пытаешься спрятать?

@RIAEvangelist, почему вы удаляете сообщения из заявки node-ipc, которые ясно показывают, что добавленный вами код удаляет/перезаписывает пользовательские файлы?

В рунете действия RIAEvangelist сравнили с «культурой отмены» и цензурой.

Пользователи начали замечать и другие формы подобного «протеста», и собирать их в списки. После освещения ситуации некоторые разработчики начали откатывать изменения до безопасных версий кода.

Блок telegram недоступен

Как сообщили BleepingComputer со ссылкой на исследователей Snyk, версии node-ipc 10.1.1 и 10.1.2, заменяющие данные на сердечки, были удалены npm в течение 24 часов после публикации. Тем не менее, версия 11.0.0 и выше остаются доступными и по-прежнему содержат модуль Peacenotwar. «Если ваше приложение создано с использованием библиотеки node-ipc, убедитесь, что зависимость привязана к безопасной версии, такой как 9.2.1 (оказывается, 9.2.2 тоже не безобидна)», — порекомендовало издание.

Роскомнадзор требует от СМИ называть события на Украине «специальной военной операцией». Мы вынуждены придерживаться этого правила.

#технологии #конфликтнаукраине