Wykorzystywany do budowy sieci neuronowych w popularnym środowisku programistycznym JavaScript pakiet node-ipc pobierany jest ponad milion razy w tygodniu i wykorzystywany w jeszcze popularniejszych narzędziach. W zeszłym tygodniu zyskał nowe nie do końca typowe funkcje.

Powodowały one sprawdzenie adresu IP komputera, na którym pakiet jest uruchamiany i jeżeli należał on do puli adresów z Rosji lub Białorusi kasował zawartość dysku. Jak wskazuje szereg mniej lub bardziej histerycznych reakcji na stronie zgłoszeń projektu, odniosło to spodziewany efekt. Wersje oprogramowania podejmujące tak drastyczne kroki zostały jednak w ciągu paru dni usunięte ze stron odpowiedzialnych za ich dystrybucję do użytkowników, obecna “jedynie” utrzymuje jako zależność pakiet “peacenotwar” o następującym opisie;

Ten kod służy jako nie-destruktywny przykład dlaczego ważne jest aby kontrolować wykorzystywane moduły node. Jest też bezprzemocowym protestem przeciw Rosyjskiej agresji, która zagraża obecnie światu. Moduł ten doda wiadomość pokoju na pulpicie użytkowników i zrobi to wyłącznie, jeśli jeszcze nie istnieje taki plik, z uprzejmości.

Autor tego pakietu określa go terminem “protestware”.

Licencja pakietu node-ipc została też zmieniona z MIT na bardzo treściwą “Dont Be a Dick” Public License, której polskie tłumaczenie można znaleźć tutaj.

Dłuższy zdecydowanie niepochwalający akcji opis można znaleźć tutaj (ang).

  • @rysiek
    link
    1
    edit-2
    3 years ago

    Nie zdziwiłbym się, gdyby np. dotknięta tym była Meduza. Albo Novaja Gazieta. Albo Memoriał. Albo…

    Ja mógłbym poprosić o Twoją listę Rosyjskich instytucji reżimowych, które Twoim zdaniem były by tym dotknięte. Tyle, że to bez znaczenia, bo problem nie polega na tym, ile takich czy innych instytucji jest dotknięte, tylko w kogo to jest wycelowane.

    A jest wycelowane w ludzi, nie w system. Jakaś durna żądza “zemsty” na nie wiadomo kim. Byle dopierdolić. Bez zastanowienia się, czy aby nie zaszkodzi ludziom próbującym coś z tym pieprzonym systemem zrobić między jednym a drugim wpierdolem od OMONu.

    System sobie z takim “aktywizmem” łatwo poradzi, przywrócą laptopa z bekapu, developerów mają na pęczki. A dev-aktywistka jakiegoś Memoriału czy innej Meduzy, której w obecnej sytuacji upierdoli się dane na laptopie, będzie w czarnej, rozpaczliwej dupie.

    Jak mówiłem: słabe to bardzo.

    • harcOP
      link
      1
      edit-2
      3 years ago

      Ale są, czy wyobrażasz sobie i nie zdziwiłbyś się, ale nie ma dalej żadnych dowodów, na to, że tak się stało? Bo Rosyjski FUD siany z takimi hasłami już widziałem, ale nie widziałem ani jednej organizacji, która faktycznie zgłosiła by taki problem. Tak jak i nie wiem, kto (z chociaż połową mózgu), trzyma istotne bazy danych na maszynach/systemach deweloperskich.

      Wątpię, żeby to działanie dotknęło bezpośrednio sił reżimu, ma dotknąć ludzi, którzy mają pod nim względnie wygodne życie, tak żeby uświadomić im, co, chcąc nie-chcąc wspierają swoją pracą. To nie jest zemsta, to nie cryptolocker, nikt nie wykrada i publikuje ich gołych fotek, próbując im indywidualnie zniszczyć życie. To rozszerzenie miażdżących sankcji ekonomicznych na wymiar informatyczny. I sądząc po reakcjach i dyskusjach, które miałem na githubie, to nie jest tak, że dotknęło to kogokolwiek, kto dostał chociaż raz wpierdol od OMONu.

      • @rysiek
        link
        23 years ago

        Nie, nie ma konkretnego przykładu. Jeszcze.

        Ale pracowałem z dziennikarzami/dziennikarkami i aktywist(k)ami z Rosji i okolic. Zdziwiłbyś się, jakich pakietów używają do Robienia Dobrej Roboty.

        I nie chodzi tu koniecznie o to, że upierdolona zostanie bazy danych na deweloperskiej maszynie, tylko o to, że upierdolona zostanie developerska maszyna kogoś, kto i tak zapieprza nocami i robi bokami.

        Żeby było jasne: nie mam problemu z peacenotwar. Mam problem z kasowaniem plików na komputerach losowych developerów z IP z Rosji. Bo nie wiesz, w kogo to trafi.

        I nie chodzi tylko o node-ipc, ale o sam pomysł takiej akcji. Bo node-ipc może nie jest uberpopularny, ale co jeśli jakiś popularniejszy, ogólniejszy pakiet odwali taką akcję? Meduzie czy Nowej Gazecie powiemy wtedy “ups, sorry”?