Forwarded from SecAtor
Очередной нокдаун нанесен экосистеме сообщества открытого исходного кода.
На этот раз российский разработчик Виктор Мухачев npm-пакета event-source-polyfill решил выразил протест российским пользователям, в связи с проведением военной операции на Украине.
17 марта также известный как Yaffle добавил фрагмент кода в свою популярную библиотеку
Polyfill реализует существующие функций JavaScript в веб-браузерах, которые могут их не поддерживать. Пакет расширяет API-интерфейсы EventSource от Mozilla для других браузеров, в которых эта концепция может отсутствовать. Polyfill используется более чем в 135 000 репозиториях GitHub и загружается более 600 000 раз в неделю на npm.
Однако вновь вышедшая версия 1.0.26 event-source-polyfill запускает антивоенные сообщения пользователям из России через 15 секунд после старта и по-прежнему доступна на npm и GitHub. Приложение с обновленным кодом отображает основные тезисы антироссийской пропаганды, рекламу BBC и содержит ссылку на петицию Change.org с примерно аналогичным содержанием, которую подписали якобы 1,2 миллиона.
Печальнее другое, в частности, исследователи Checkmarx надолго после инцидента с polyfill нашли последователей из числа разработчиков npm с миллионами еженедельных загрузок, среди которых оказались es5-ext и styled-components.
Как отмечают многие исследователи, грубое нарушение этических границ и проявленный саботаж отдельных разработчиков в целом подрывают и без того шаткое доверие к библиотекам с открытым исходным кодом, что на фоне участившихся атак на цепочки зависимостей вызывает более критическую реакцию участников сообщества, нежели понимание и поддержку.
На этот раз российский разработчик Виктор Мухачев npm-пакета event-source-polyfill решил выразил протест российским пользователям, в связи с проведением военной операции на Украине.
17 марта также известный как Yaffle добавил фрагмент кода в свою популярную библиотеку
Polyfill реализует существующие функций JavaScript в веб-браузерах, которые могут их не поддерживать. Пакет расширяет API-интерфейсы EventSource от Mozilla для других браузеров, в которых эта концепция может отсутствовать. Polyfill используется более чем в 135 000 репозиториях GitHub и загружается более 600 000 раз в неделю на npm.
Однако вновь вышедшая версия 1.0.26 event-source-polyfill запускает антивоенные сообщения пользователям из России через 15 секунд после старта и по-прежнему доступна на npm и GitHub. Приложение с обновленным кодом отображает основные тезисы антироссийской пропаганды, рекламу BBC и содержит ссылку на петицию Change.org с примерно аналогичным содержанием, которую подписали якобы 1,2 миллиона.
Печальнее другое, в частности, исследователи Checkmarx надолго после инцидента с polyfill нашли последователей из числа разработчиков npm с миллионами еженедельных загрузок, среди которых оказались es5-ext и styled-components.
Как отмечают многие исследователи, грубое нарушение этических границ и проявленный саботаж отдельных разработчиков в целом подрывают и без того шаткое доверие к библиотекам с открытым исходным кодом, что на фоне участившихся атак на цепочки зависимостей вызывает более критическую реакцию участников сообщества, нежели понимание и поддержку.
Checkmarx
New Protestware Found Lurking in Highly Popular NPM Package
Two popular packages, “styled-components” and “es5-ext”, with millions of weekly downloads and thousands of dependent projects, released new Protestware versions. The new versions verify that the infected machine belongs to a Russian user and if so, alter…