Wykorzystywany do budowy sieci neuronowych w popularnym środowisku programistycznym JavaScript pakiet node-ipc pobierany jest ponad milion razy w tygodniu i wykorzystywany w jeszcze popularniejszych narzędziach. W zeszłym tygodniu zyskał nowe nie do końca typowe funkcje.
Powodowały one sprawdzenie adresu IP komputera, na którym pakiet jest uruchamiany i jeżeli należał on do puli adresów z Rosji lub Białorusi kasował zawartość dysku. Jak wskazuje szereg mniej lub bardziej histerycznych reakcji na stronie zgłoszeń projektu, odniosło to spodziewany efekt. Wersje oprogramowania podejmujące tak drastyczne kroki zostały jednak w ciągu paru dni usunięte ze stron odpowiedzialnych za ich dystrybucję do użytkowników, obecna “jedynie” utrzymuje jako zależność pakiet “peacenotwar” o następującym opisie;
Ten kod służy jako nie-destruktywny przykład dlaczego ważne jest aby kontrolować wykorzystywane moduły node. Jest też bezprzemocowym protestem przeciw Rosyjskiej agresji, która zagraża obecnie światu. Moduł ten doda wiadomość pokoju na pulpicie użytkowników i zrobi to wyłącznie, jeśli jeszcze nie istnieje taki plik, z uprzejmości.
Autor tego pakietu określa go terminem “protestware”.
Licencja pakietu node-ipc została też zmieniona z MIT na bardzo treściwą “Dont Be a Dick” Public License, której polskie tłumaczenie można znaleźć tutaj.
Dłuższy zdecydowanie niepochwalający akcji opis można znaleźć tutaj (ang).
Ale są, czy wyobrażasz sobie i nie zdziwiłbyś się, ale nie ma dalej żadnych dowodów, na to, że tak się stało? Bo Rosyjski FUD siany z takimi hasłami już widziałem, ale nie widziałem ani jednej organizacji, która faktycznie zgłosiła by taki problem. Tak jak i nie wiem, kto (z chociaż połową mózgu), trzyma istotne bazy danych na maszynach/systemach deweloperskich.
Wątpię, żeby to działanie dotknęło bezpośrednio sił reżimu, ma dotknąć ludzi, którzy mają pod nim względnie wygodne życie, tak żeby uświadomić im, co, chcąc nie-chcąc wspierają swoją pracą. To nie jest zemsta, to nie cryptolocker, nikt nie wykrada i publikuje ich gołych fotek, próbując im indywidualnie zniszczyć życie. To rozszerzenie miażdżących sankcji ekonomicznych na wymiar informatyczny. I sądząc po reakcjach i dyskusjach, które miałem na githubie, to nie jest tak, że dotknęło to kogokolwiek, kto dostał chociaż raz wpierdol od OMONu.
Nie, nie ma konkretnego przykładu. Jeszcze.
Ale pracowałem z dziennikarzami/dziennikarkami i aktywist(k)ami z Rosji i okolic. Zdziwiłbyś się, jakich pakietów używają do Robienia Dobrej Roboty.
I nie chodzi tu koniecznie o to, że upierdolona zostanie bazy danych na deweloperskiej maszynie, tylko o to, że upierdolona zostanie developerska maszyna kogoś, kto i tak zapieprza nocami i robi bokami.
Żeby było jasne: nie mam problemu z
peacenotwar
. Mam problem z kasowaniem plików na komputerach losowych developerów z IP z Rosji. Bo nie wiesz, w kogo to trafi.I nie chodzi tylko o
node-ipc
, ale o sam pomysł takiej akcji. Bonode-ipc
może nie jest uberpopularny, ale co jeśli jakiś popularniejszy, ogólniejszy pakiet odwali taką akcję? Meduzie czy Nowej Gazecie powiemy wtedy “ups, sorry”?