Le développeur d’un package de code populaire sabote son propre produit.
La commande de destruction est très bien cachée dans le code. Adobe Stock / AOP
Node-ipc est un package de code javascript très populaire qui crée un module pour le fonctionnement inter-processus. Le package Node-ipc est largement utilisé dans le monde – utilisé par la bibliothèque CLI Vue.js, par exemple – et compte plus d’un million de téléchargements hebdomadaires.
Ordinateur qui bipe dit le développeur de Node-ipc Brandon “Évangéliste des RIAE” Miller voulait prendre position sur la guerre en Ukraine. Il a publié deux nouvelles versions de son package de code dans la bibliothèque de code Npm et GitHub.
Pour de nombreux utilisateurs, l’installation de packages n’apporte qu’un message de paix à l’écran.
Cependant, si un utilisateur se trouve en Russie ou en Biélorussie sur la base de son adresse IP, en plus du message de paix, le pack de codes contient une bombe d’une puissance catastrophique : il efface tout le contenu de l’ordinateur.
La commande de destruction est soigneusement cachée dans le code Node-ipc. Lorsqu’il commence à fonctionner, il prend et écrase tous les fichiers du système cible, remplaçant leur contenu par des briseurs de cœur.
Un message appelant à la paix apparaît en anglais et en russe sur l’écran de l’avion détruit :
« La guerre n’est pas la réponse, quelle que soit la gravité de la situation. La guerre apporte tragédie et destruction, privant des générations de moments précieux et d’espoir pour l’avenir.
Un soldat porte ses bottes pour son pays, obéissant aux ordres de son gouvernement. Trouvez le pouvoir de pardonner, de vous unir et de résister à cette véritable injustice et à ce mal.
L’humanité nous unit tous, et seules les lignes d’arrivée nous séparent. Nous pouvons avoir l’impression d’être des individus insignifiants, mais lorsque suffisamment de personnes travaillent vers le même objectif, nous faisons de grands pas.
Faites ce qui vous semble juste, suivez vos propres valeurs. Que le Créateur vous bénisse ainsi que vos familles. Être prudent. “
De nombreux projets open source comme Vue.js ont récupéré un package Node-ipc destructeur et ont décidé de le distribuer à leurs utilisateurs sans méfiance, avec des conséquences prévisibles.
L’étendue des dégâts est pour l’instant inconnue. L’incident a provoqué des troubles parmi les partisans de l’open source et peut effrayer les dommages à la réputation de l’évangéliste RIAE ravissement dans l’appréciation de l’open source.
« La guerre est une mauvaise chose, bien sûr, mais elle ne justifie pas une telle utilisation. Sentez v *** u, allez en enfer. Vous avez réussi à ruiner la communauté open source. Êtes-vous heureux maintenant? », A déclaré un utilisateur de GitHub.