El desarrollador de un paquete de código popular sabotea su propio producto.
Adobe Stock / AOP
Node-ipc es un paquete de código javascript muy popular que crea un módulo para la operación entre procesos. El paquete Node-ipc se utiliza ampliamente en todo el mundo (utilizado por la biblioteca CLI de Vue.js, por ejemplo) y tiene más de un millón de descargas semanales.
computadora pitido dice el desarrollador de Node-ipc Brandon “Evangelista de la RIAE” Miller quería tomar una posición sobre la guerra en Ucrania. Lanzó dos nuevas versiones de su paquete de código tanto en la biblioteca de código Npm como en GitHub.
Para muchos usuarios, la instalación de paquetes solo trae un mensaje de paz a la pantalla.
Sin embargo, si un usuario se encuentra en Rusia o Bielorrusia según su dirección IP, además del mensaje de paz, el paquete de códigos contiene una bomba catastróficamente poderosa: borra todo el contenido de la computadora.
El comando de destrucción está cuidadosamente oculto en el código Node-ipc. Cuando comienza a funcionar, toma y sobrescribe todos los archivos en el sistema de destino, reemplazando su contenido con rompecorazones.
Un mensaje llamando a la paz aparece en inglés y ruso en la pantalla del avión destruido:
“La guerra no es la respuesta, no importa cuán mala sea la situación. La guerra trae tragedia y destrucción, robando a generaciones de momentos preciosos y esperanza para el futuro.
Un soldado calza sus botas por su país, obedeciendo las órdenes de su gobierno. Encuentre el poder de perdonar, unirse y resistir esa verdadera injusticia y maldad.
La humanidad nos une a todos, y solo las líneas de meta nos separan. Podemos sentir que somos individuos insignificantes, pero cuando suficientes personas trabajan para lograr el mismo objetivo, hacemos grandes movimientos.
Haz lo que te parezca correcto, sigue tus propios valores. Que el Creador los bendiga a ustedes y a sus familias. Mantenerse a salvo. “
Numerosos proyectos de código abierto como Vue.js recogieron un paquete destructivo de Node-ipc y se dispusieron a distribuirlo a sus usuarios desprevenidos, con consecuencias predecibles.
Hasta el momento se desconoce el alcance de los daños. El incidente ha causado confusión entre los partidarios del código abierto y puede asustar el daño a la reputación del éxtasis del evangelista de la RIAE en la apreciación del código abierto.
“La guerra es algo malo, por supuesto, pero no justifica tal uso. Huele a v***u, vete al carajo. Arruinaste con éxito la comunidad de código abierto. ¿Eres feliz ahora?”, dijo un usuario de GitHub.