ВНИМАНИЕ РАЗРАБОТЧИКАМ И БУДУЩИМ СПЕЦИАЛИСТАМ!!! Возможно вы | DKA-Develop

ВНИМАНИЕ РАЗРАБОТЧИКАМ И БУДУЩИМ СПЕЦИАЛИСТАМ!!!

Возможно вы уже в курсе неприятных известий, о том что разработчик пакета npm node-ipc встроил malware в свой пакет, который включен в зависимости к тысячи другим популярным пакетам типа vue-cli.
Он отправлял запрос на удаленный сервер и при совпадении ip с РФ или РБ перезаписывал все файлы на жестком диске и встраивал в них emodji.
Это проблема была устранена, но осадочек остался, модель open source в очередной раз подвергается серьезным потрясением и таким путем стремительно потеряет доверие.

UDP: автор в одном из коммитов сказал: спасибо за бесплатную пиццу и поблагодарил местную полицию что отправили к нему весь спецназ города.
Историю коммитов автор подчистил, чтобы она выглядела так, как будто malware не было

https://www.linux.org.ru/forum/securi...
https://www.npmjs.com/package/node-ipc

Вы можете увидеть что IT-сообщество думает о поступке разработчика пакета node-ipc



Люди публикуют информацию по этой ситуации здесь: https://gist.github.com/MidSpike/f7ae3457420af78a54b38a31cc0c809c.

Это не просто безобидная штука, такое поведение сильно подрывает наш с вами подход к современной разработке, где какая-нибудь утилита может уничтожить ваш бизнес и многолетние труды.
В этом поступке ничего хорошего не видит ни одна из сторон, тем более что определение ip основано на GEO-IP с задержкой в 4 месяца.

Будьте аккуратны все добра и мира.