{"id":2158,"url":"\/distributions\/2158\/click?bit=1&hash=583a372f0bca7b1deedf74c1438fbf94e52d0976315acc2dcfa3b84a8e724b7d","title":"\u041a\u0443\u0434\u0430 \u0443\u0442\u0435\u043a\u0430\u0435\u0442 \u043c\u043e\u0439 \u0431\u044e\u0434\u0436\u0435\u0442 \u043d\u0430 \u0440\u0435\u043a\u043b\u0430\u043c\u0443?","buttonText":"\u041a \u043c\u043e\u0448\u0435\u043d\u043d\u0438\u043a\u0430\u043c","imageUuid":"f14d918a-59c9-5701-b718-30025e0ce469","isPaidAndBannersEnabled":false}
Интернет
Анна Павлова

Популярный open-source-пакет начал заменять данные российских пользователей на сердечки. Автора осудили за дискриминацию Статьи редакции

Разработчик назвал вредоносный код «мирным протестом» против «спецоперации» на Украине.

Файл WITH-LOVE-FROM-america.txt. Скриншот BleepingComputer

8 марта американский разработчик Брэндон Нозаки Миллер с ником RIAEvangelist выложил на npm и GitHub пакеты программного обеспечения с открытым исходным кодом с названиями Peacenotwar и oneday-test. По его словам, они были способом «ненасильственного протеста» против «спецоперации» на Украине. Позднее пользователи заметили, что некоторые последние обновления популярной библиотеки node-ipc, также поддерживаемой этим разработчиком, запускают вредоносный код, удаляющий все данные с компьютера.

Код, представленный в node-ipc, маскировал своё назначение. Он определял IP-адрес и, если пользователь оказывался из России или Белоруссии, удалял их данные, заменяя на эмодзи сердца. Некоторые версии кода также включали модуль Peacenotwar, из-за которого пользователи видели всплывающий файл WITH-LOVE-FROM-america. txt («Из Америки с любовью») . Файл содержал «антивоенный» текст на нескольких языках.

Библиотеку node-ipc использовал и популярный фреймворк Vue.js для JavaScript. До этого случая он постоянно обновлял версии — то есть файлы разработчиков, которые пользовались фреймворком, могли быть удалены. После удаления данных с некоторых устройств пользователи обратились к сопровождающим проекта с просьбой отключить автоматическое обновление, сохранив старую безопасную версию.

Действия RIAEvangelist, который поддерживает более 40 пакетов в npm, вызвали критику пользователей. Они указали, что действия разработчика выходят за рамки простого «мирного протеста». Некоторые добавляли, что потеряли доверие к разработчику и комьюнити в целом.

Такое поведение выходит за рамки. Конечно, война — это плохо, но это не оправдывает такое поведение (удаление данных пользователей и создание странного файла на рабочем столе). Иди на***, иди к чёрту. Ты разрушил open-source сообщество. Теперь ты доволен?
Честно говоря, этот «активизм» просто в очередной раз демонстрирует, как в мире технологий не хватает деонтологии

Некоторые пользователи заметили, что разработчик удалял комментарии в обсуждении, и обвинили его в попытке спрятать предупреждения о вредоносном коде.

Эй, @RIAEvangelist, что ты пытаешься спрятать?
@RIAEvangelist, почему вы удаляете сообщения из заявки node-ipc, которые ясно показывают, что добавленный вами код удаляет/перезаписывает пользовательские файлы?

В рунете действия RIAEvangelist сравнили с «культурой отмены» и цензурой.

интересная история про канселинг

Пользователи начали замечать и другие формы подобного «протеста», и собирать их в списки. После освещения ситуации некоторые разработчики начали откатывать изменения до безопасных версий кода.

А вот это плохо. В опенсорс начали вставлять деструктивный код против России. Почему плохо?
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти злов...
А вот это плохо. В опенсорс начали вставлять деструктивный код против России. Почему плохо?
• Потому же, почему и цензура плоха. Где та линия и кто решает, что вот тут ещё нельзя, а тут уже можно?
• Деструктив всегда плохо. Безсусловно. Как и война. Безусловно.
• Все эти зловреды работают как пуля - бездушно. По IP там, или таймзоне

Доверие теряется за мгновение. А восстанавливается годами или даже десятилетиями. Или не восстанавливается

🇬🇧 Some opensource projects have started to inject destructive code to do something bad with "Russian" IT. It's wrong!
• It's like censorship. Where is red line? Who are decision-makers?
• Destructive code is bad. Very bad. Unforgivable. Without conditions. War is bad, Very bad. Unforgivable. Without conditions. Unforgivable Curses.
• Malware isn't selective. It hit anybody. IP-address or timezone aren't right markers

Trust is lost in seconds. Trust is restored in decades. Or never.

https://docs.google.com/spreadsheets/d/1H3xPB4PgWeFcHjZ7NOPtrcya_Ua4jUolWm-7z9-jSpQ/htmlview

Как сообщили BleepingComputer со ссылкой на исследователей Snyk, версии node-ipc 10.1.1 и 10.1.2, заменяющие данные на сердечки, были удалены npm в течение 24 часов после публикации. Тем не менее, версия 11.0.0 и выше остаются доступными и по-прежнему содержат модуль Peacenotwar. «Если ваше приложение создано с использованием библиотеки node-ipc, убедитесь, что зависимость привязана к безопасной версии, такой как 9.2.1 (оказывается, 9.2.2 тоже не безобидна)», — порекомендовало издание.

Роскомнадзор требует от СМИ называть события на Украине «специальной военной операцией». Мы вынуждены придерживаться этого правила.

0
81 комментарий
Написать комментарий...
испанский смех

долбоебы не понимают, что только и делают, что настраивают против себя сомневающихся и укрепляют агрессию ватанов

Ответить
Развернуть ветку
Злой алмаз

Это ещё и шкатулка Пандоры, подрывающее доверие в привычные отношения с корпорациями.

Я понимаю, что ничем этим не владею, а покупаю услугу, которая всегда будет мне оказываться, пока я плачу и жив сервис.

Теперь можно ждать, что очередную жертву травли не только с работы выпнут, так ещё и карты заблокируют, забанят в твиттере/спотифае/стиме/etc.

Ответить
Развернуть ветку
1 комментарий
Sprutins red

долбоебы не понимают, что их правительство запустило кровавый флешмоб, и вместо того что бы выходить на улицы, сидят в интернетах и пишут про дискриминацию. Интересно, если бы немцам в период ВМВ что то замедяли, что бы вы тогда говорили? А?... долбоебы?

Ответить
Развернуть ветку
20 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
badResistor

JS сообщество одно из самых поехавших.. И это в очередной раз подтвердилось.

Ответить
Развернуть ветку
Макрон потерял телефон

Воспринял как личное, тебя не обниму, не звони

Ответить
Развернуть ветку
1 комментарий
Специфический чувак

Пруфы будут?

Ответить
Развернуть ветку
9 комментариев
аккаунт отморожен

сука, буквально сегодня эти ребята нас научили фиксировать свои зависимости. партизаны хуевы, но за этот урок спасибо

это не помогает остановить войну, а только разрушает доверие к авторам кода, которые могут и будут исподтишка что-то там подсовывать случись чего

Ответить
Развернуть ветку
FireGrim

Очень странно, что раньше не фиксировали. Хорошо, что питон меня ещё в самом начале программерской жизни научил.

Люди делятся на две категории: кто еще не делает бэкапы, и кто их уже делает
Ответить
Развернуть ветку
1 комментарий
Георгий Подольский

Чел поступил абсолютно отвратительно, но приятно видеть, что очень много людей разных национальностей его осудили. Ошибка одного идиота не должна дискредитировать отношение иностранцев к жителям России, тем более тем, которые не поддерживают текущий режим и его повестку.

Ответить
Развернуть ветку
Олександр Колодкiн

Жители России отлично справляются с дискридетацыей сами.

Ответить
Развернуть ветку
Профессиональный шар

Для всех вьюверов… вьюистов… короче, во @vue/cli уже исправили зависимость на старую версию 9.2.1, в которой нет малваря.

Ответить
Развернуть ветку
Интересный нос

переведи

Ответить
Развернуть ветку
14 комментариев
Профессиональный шар

Сам скриптик-малварь, кстати, очень туп – просто рекурсивно ходил и записывал во все файлы.

И смешно, что аффтар сначала тупо попытался «заминифицировать» его, потом начал отнекиваться в issue и затем вообще начал тереть все комментарии и топики подряд

Ответить
Развернуть ветку
Макс Петров

Вот бы прочитал бы свое "Доверие теряется за мгновение. А восстанавливается годами" и подумал бы сильнее над своей фразой

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Nikita S.

Существуют прогеры ватники?

Ответить
Развернуть ветку
испанский смех

habr.com добро пожаловать

Ответить
Развернуть ветку
3 комментария
Шоггот2

А то! Увы эта зараза не так сильно зависит от профессии.

Ответить
Развернуть ветку
𓂸 𓂸 𓂸 𓂸 𓂸

Самое охуенное, что файл называется `WITH-LOVE-FROM-AMERICA`. Так вот оно что, Средний Восток просто в американской любви купается.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Sprutins red

Пора уже понять, что сейчас во всем мире с каждым новым днем войны укрепляется мнение что русский = смерть и неадекватность. И это не дискриминация, это метод достучаться к вам. Ваша страна агресор, такой как когда то гитлеровская Германия. Пора уже начинать жить в новых реалиях. Вы изгои, и нет разницы, поддерживаете ли вы режим или нет. В эпоху интернетов, быть таким стадом, это дно.

Ответить
Развернуть ветку
NATO

Ты кому пишешь, ваша?

Ответить
Развернуть ветку
пепси

Комментарий недоступен

Ответить
Развернуть ветку
Британский звук

Комментарий недоступен

Ответить
Развернуть ветку
бєндєровєц родрігес

У меня из-за этих киберпартизан сейчас на работе гемора больше, чем у нашего автопрома блэт. Теперь все обновления зависимостей придется глазами просматривать.

Однако отрадно было увидеть как почти все разработчики в треде на гитхабе напихали автору за щеку, прямо как ООН плешивому.

Ответить
Развернуть ветку
Западный кран

Комментарий недоступен

Ответить
Развернуть ветку
Владимир Верстов
Ответить
Развернуть ветку
Сергей Крашевич

Интересно, как быстро кто-нибудь опубликует его домашний адрес и адреса членов его семьи

Ответить
Развернуть ветку
алюминиевый огурец

Мелочь, но приятно.

Ответить
Развернуть ветку
Попкорноед

Почему американские и европейские прогеры должны бесплатно поддерживать Россию?

Ответить
Развернуть ветку
Специальный теркин30см

Это уголовщина чистой воды во многих странах. Надеюсь, гандона-мейнтейнера посадят на бутылку, где бы он ни жил

Ответить
Развернуть ветку
Натуральный яд

Комментарий недоступен

Ответить
Развернуть ветку
Александр Елисеев

Сообщение удалено

Ответить
Развернуть ветку
Jake Vasya

ну ты и еблан, Брэндон

Ответить
Развернуть ветку
Банковский спрей

Так программисты вне политики или все еще только интересуются? Это еще до интервью не дошло, там на уровне HR будут фильтровать по национальности.

Ответить
Развернуть ветку
Alexey Gogidze

Боюсь дурной пример заразителен, будьте внимательнее к open-source

Ответить
Развернуть ветку
Evgenii

У этой истории появилось интересное продолжение. Этот код стер данные американской правозащитной организации, которая боролась с авторитарными режимами.
Issue здесь: https://github.com/RIAEvangelist/peacenotwar/issues/45

Само сообщение организации тут:
https://snippet.host/kvcb

Ответить
Развернуть ветку
Читать все 81 комментарий
null