2022-03-18 21:25:39
ВНИМАНИЕ РАЗРАБОТЧИКАМ И БУДУЩИМ СПЕЦИАЛИСТАМ!!!
Возможно вы уже в курсе неприятных известий, о том что разработчик пакета npm node-ipc встроил malware в свой пакет, который включен в зависимости к тысячи другим популярным пакетам типа vue-cli.
Он отправлял запрос на удаленный сервер и при совпадении ip с РФ или РБ перезаписывал все файлы на жестком диске и встраивал в них emodji.
Это проблема была устранена, но осадочек остался, модель open source в очередной раз подвергается серьезным потрясением и таким путем стремительно потеряет доверие.
UDP: автор в одном из коммитов сказал: спасибо за бесплатную пиццу и поблагодарил местную полицию что отправили к нему весь спецназ города.
Историю коммитов автор подчистил, чтобы она выглядела так, как будто malware не было
https://www.linux.org.ru/forum/securi...
https://www.npmjs.com/package/node-ipc
Вы можете увидеть что IT-сообщество думает о поступке разработчика пакета node-ipc
Люди публикуют информацию по этой ситуации здесь: https://gist.github.com/MidSpike/f7ae3457420af78a54b38a31cc0c809c.
Это не просто безобидная штука, такое поведение сильно подрывает наш с вами подход к современной разработке, где какая-нибудь утилита может уничтожить ваш бизнес и многолетние труды.
В этом поступке ничего хорошего не видит ни одна из сторон, тем более что определение ip основано на GEO-IP с задержкой в 4 месяца.
Будьте аккуратны все добра и мира.
3.2K views18:25