周下载 60 万的 npm 包在新版本中偷偷加入反战代码

安全
继百万周下载量的 npm 包“ node-ipc ”以反战为名进行供应链投毒后,又一位开发者在代码中加入反战元素。

继百万周下载量的 npm 包“ node-ipc ”以反战为名进行供应链投毒后,又一位开发者在代码中加入反战元素。3 月 17 日,俄罗斯开发人员 Viktor Mukhachev (aka Yaffle) 在其流行的 npm 库“event-source- polyfill”中添加了一段有趣的代码。这段在 1.0.26 版本中引入的代码意味着:使用该库构建的应用程序,将在启动 15 秒后向俄罗斯用户显示反战消息。

Polyfill 包可以在不支持的 Web 浏览器上实现现有的 JavaScript 功能。因此,本文主人公: event-source- polyfill 包可将 Firefox 的“ EventSource ”API 扩展到其他 Web 浏览器中。目前,这个包被超过 135,000 个 GitHub 存储库使用,且每周在 npm 上下载超过 600,000 次。

与 “ node-ipc ” 清理俄罗斯用户硬盘数据的激进作风不同,该“event-source- polyfill”应用程序并不会删除任何数据或破坏应用程序,而是以文本框通知的形式敦促俄罗斯结束其对乌克兰的“无理入侵”,并劝诫俄罗斯平民提防“片面”新闻,寻求可靠的新闻来源,比如 BBC 的 Tor 网站(...)。在文本框通知结束后,最后一行代码还会将用户引导至 Change.org 反战请愿书 。

而有趣的是,在上次的 “ node-ipc ”包投毒事件中,网友一边倒地谴责 node-ipc 作者,说这是对整个开源社区的信誉的“巨大损害”。相比之下,这次 event-source- polyfill 包的新版本恶意代码虽然也引发了剧烈讨论,但有不少人支持作者,认为这是“正义代码”,双方在 GitHub 上进一步展开了一场辩论 。

“对一些人来说,这是恶意软件,而对俄罗斯的一些人来说,它可能是有价值的信息,很有帮助。”

“对我来说,破坏意味着该行为的意图是破坏项目的原始目的。这种行为似乎与项目的原始目标不一致,所以它是卑鄙的,但它并不是真正的破坏。”

责任编辑:未丽燕 来源: 开源中国
相关推荐

2012-10-22 10:56:59

Ubuntu

2013-11-13 15:39:50

OpenStack企业级功能

2017-05-10 14:27:29

静态代码漏洞安全

2011-08-01 15:35:51

GlassFishJava 7

2009-06-17 09:24:34

学习strutsStruts新版本

2010-02-23 17:44:48

Python 3.0

2014-12-09 11:20:48

Docker网络名字空间

2022-04-15 11:51:48

Windows 11安全加密

2022-03-17 10:38:09

vue-clinode-ipc恶意攻击

2009-07-07 16:10:02

JDK最新版本JDK安装JDK下载

2015-02-05 16:59:36

平安WiFiiOS

2015-10-13 16:02:49

升级Windows 10微软

2022-05-12 13:40:18

勒索软件数据泄露网络安全

2020-07-10 06:40:31

Python 3.9Python开发

2011-03-21 13:51:28

FirefoxMozilla进度

2012-05-15 13:39:41

微软Windows8

2009-12-31 11:09:36

Ubuntu wine

2009-12-29 13:43:21

Ubuntu 9.10

2023-05-18 08:00:59

CephRGW 性能

2012-09-24 11:50:04

IBMdw
点赞
收藏

51CTO技术栈公众号