Популярный open-source-пакет начал заменять данные российских пользователей на сердечки. Автора осудили за дискриминацию Статьи редакции
Разработчик назвал вредоносный код «мирным протестом» против «спецоперации» на Украине.
8 марта американский разработчик Брэндон Нозаки Миллер с ником RIAEvangelist выложил на npm и GitHub пакеты программного обеспечения с открытым исходным кодом с названиями Peacenotwar и oneday-test. По его словам, они были способом «ненасильственного протеста» против «спецоперации» на Украине. Позднее пользователи заметили, что некоторые последние обновления популярной библиотеки node-ipc, также поддерживаемой этим разработчиком, запускают вредоносный код, удаляющий все данные с компьютера.
Код, представленный в node-ipc, маскировал своё назначение. Он определял IP-адрес и, если пользователь оказывался из России или Белоруссии, удалял их данные, заменяя на эмодзи сердца. Некоторые версии кода также включали модуль Peacenotwar, из-за которого пользователи видели всплывающий файл WITH-LOVE-FROM-america. txt («Из Америки с любовью») . Файл содержал «антивоенный» текст на нескольких языках.
Библиотеку node-ipc использовал и популярный фреймворк Vue.js для JavaScript. До этого случая он постоянно обновлял версии — то есть файлы разработчиков, которые пользовались фреймворком, могли быть удалены. После удаления данных с некоторых устройств пользователи обратились к сопровождающим проекта с просьбой отключить автоматическое обновление, сохранив старую безопасную версию.
Действия RIAEvangelist, который поддерживает более 40 пакетов в npm, вызвали критику пользователей. Они указали, что действия разработчика выходят за рамки простого «мирного протеста». Некоторые добавляли, что потеряли доверие к разработчику и комьюнити в целом.
Некоторые пользователи заметили, что разработчик удалял комментарии в обсуждении, и обвинили его в попытке спрятать предупреждения о вредоносном коде.
В рунете действия RIAEvangelist сравнили с «культурой отмены» и цензурой.
Пользователи начали замечать и другие формы подобного «протеста», и собирать их в списки. После освещения ситуации некоторые разработчики начали откатывать изменения до безопасных версий кода.
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти злов...
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти зловреды работают как пуля - бездушно. По IP там, или таймзоне
✅ Доверие теряется за мгновение. А восстанавливается годами или даже десятилетиями. Или не восстанавливается
🇬🇧 Some opensource projects have started to inject destructive code to do something bad with "Russian" IT. It's wrong!
• It's like censorship. Where is red line? Who are decision-makers?
• Destructive code is bad. Very bad. Unforgivable. Without conditions. War is bad, Very bad. Unforgivable. Without conditions. Unforgivable Curses.
• Malware isn't selective. It hit anybody. IP-address or timezone aren't right markers
✅ Trust is lost in seconds. Trust is restored in decades. Or never.
https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9-jSpQ/htmlview
Как сообщили BleepingComputer со ссылкой на исследователей Snyk, версии node-ipc 10.1.1 и 10.1.2, заменяющие данные на сердечки, были удалены npm в течение 24 часов после публикации. Тем не менее, версия 11.0.0 и выше остаются доступными и по-прежнему содержат модуль Peacenotwar. «Если ваше приложение создано с использованием библиотеки node-ipc, убедитесь, что зависимость привязана к безопасной версии, такой как 9.2.1 (оказывается, 9.2.2 тоже не безобидна)», — порекомендовало издание.
Роскомнадзор требует от СМИ называть события на Украине «специальной военной операцией». Мы вынуждены придерживаться этого правила.
долбоебы не понимают, что только и делают, что настраивают против себя сомневающихся и укрепляют агрессию ватанов
Это ещё и шкатулка Пандоры, подрывающее доверие в привычные отношения с корпорациями.
Я понимаю, что ничем этим не владею, а покупаю услугу, которая всегда будет мне оказываться, пока я плачу и жив сервис.Теперь можно ждать, что очередную жертву травли не только с работы выпнут, так ещё и карты заблокируют, забанят в твиттере/спотифае/стиме/etc.
долбоебы не понимают, что их правительство запустило кровавый флешмоб, и вместо того что бы выходить на улицы, сидят в интернетах и пишут про дискриминацию. Интересно, если бы немцам в период ВМВ что то замедяли, что бы вы тогда говорили? А?... долбоебы?
Комментарий недоступен
JS сообщество одно из самых поехавших.. И это в очередной раз подтвердилось.
Воспринял как личное, тебя не обниму, не звони
Пруфы будут?
сука, буквально сегодня эти ребята нас научили фиксировать свои зависимости. партизаны хуевы, но за этот урок спасибо
это не помогает остановить войну, а только разрушает доверие к авторам кода, которые могут и будут исподтишка что-то там подсовывать случись чего
Очень странно, что раньше не фиксировали. Хорошо, что питон меня ещё в самом начале программерской жизни научил.
Люди делятся на две категории: кто еще не делает бэкапы, и кто их уже делаетЧел поступил абсолютно отвратительно, но приятно видеть, что очень много людей разных национальностей его осудили. Ошибка одного идиота не должна дискредитировать отношение иностранцев к жителям России, тем более тем, которые не поддерживают текущий режим и его повестку.
Жители России отлично справляются с дискридетацыей сами.
Для всех вьюверов… вьюистов… короче, во @vue/cli уже исправили зависимость на старую версию 9.2.1, в которой нет малваря.
переведи
Сам скриптик-малварь, кстати, очень туп – просто рекурсивно ходил и записывал во все файлы.
И смешно, что аффтар сначала тупо попытался «заминифицировать» его, потом начал отнекиваться в issue и затем вообще начал тереть все комментарии и топики подряд
Вот бы прочитал бы свое "Доверие теряется за мгновение. А восстанавливается годами" и подумал бы сильнее над своей фразой
Комментарий недоступен
Существуют прогеры ватники?
habr.com добро пожаловать
А то! Увы эта зараза не так сильно зависит от профессии.
Самое охуенное, что файл называется `WITH-LOVE-FROM-AMERICA`. Так вот оно что, Средний Восток просто в американской любви купается.
Комментарий недоступен
Пора уже понять, что сейчас во всем мире с каждым новым днем войны укрепляется мнение что русский = смерть и неадекватность. И это не дискриминация, это метод достучаться к вам. Ваша страна агресор, такой как когда то гитлеровская Германия. Пора уже начинать жить в новых реалиях. Вы изгои, и нет разницы, поддерживаете ли вы режим или нет. В эпоху интернетов, быть таким стадом, это дно.
Ты кому пишешь, ваша?
Комментарий недоступен
Комментарий недоступен
У меня из-за этих киберпартизан сейчас на работе гемора больше, чем у нашего автопрома блэт. Теперь все обновления зависимостей придется глазами просматривать.
Однако отрадно было увидеть как почти все разработчики в треде на гитхабе напихали автору за щеку, прямо как ООН плешивому.
Комментарий недоступен
Интересно, как быстро кто-нибудь опубликует его домашний адрес и адреса членов его семьи
Мелочь, но приятно.
Почему американские и европейские прогеры должны бесплатно поддерживать Россию?
Это уголовщина чистой воды во многих странах. Надеюсь, гандона-мейнтейнера посадят на бутылку, где бы он ни жил
Комментарий недоступен
Сообщение удалено
ну ты и еблан, Брэндон
Так программисты вне политики или все еще только интересуются? Это еще до интервью не дошло, там на уровне HR будут фильтровать по национальности.
Боюсь дурной пример заразителен, будьте внимательнее к open-source
У этой истории появилось интересное продолжение. Этот код стер данные американской правозащитной организации, которая боролась с авторитарными режимами.
Issue здесь: https://github.com/RIAEvangelist/peacenotwar/issues/45
Само сообщение организации тут:
https://snippet.host/kvcb