Как многие уже знают open-source разработчики объявили нам свою войну. И либо открыто поддерживают Украину, либо гадят.
Третьего дня(с) разработчик известной в определенных кругах библиотеки для межпроцессного взаимодействия (> 1млн скачиваний в неделю) разместил вредоносный код, который с 25% вероятностью заменял файлы на серверах с IP Белоруссии и России на сердечки, а так же создавал файл с антивоенным содержанием на рабочем столе.
От него пострадали в основном пользователи vue-cli и Unity.
Но вместе с этим произошел курьез. Борьба за демократию задела эту самую демократию. Господа с 2014 года собирали инфу, которую им присылали "шептуны" на сервера, расположенные в Белоруссии и России. И данное ПО уничтожило результаты их работы почти за месяц. Было потеряно более 30000 сообщений и файлов о не демократичных действиях ВС РФ на территории Украины.
Примечательна цитата: "All I can say that your little shenanigan did more damage to us than Putin or Lukashenka ever could." ( Все что я могу сказать, ваша небольшая шалость причинила больше вреда нам, чем то, что Путин или Лукашенко когда либо делали) :D
Все что я могу сказать, open source никогда не будет прежним.
И храните lock файлы в репозиториях, во избежание, так сказать.
Инфа отсюда https://github.com/RIAEvangelist/node-ipc/issues/308 и отсюда https://github.com/vuejs/vue-cli/issues/7054
P.S. Сознательные товарищи собирают документ и репу про такое ПО с "сюрпризами"
https://github.com/stravnik/toxic-repos
P.P.S Пишу про разработку тут https://t.me/bearlogin_dev
Комментарии
Ну тут как Википедия.
Которая была запредельно хороша, пока была вне политики.
Но ей дали созреть - а дальше организованными компаниями влияния снесли её попытки "оставаться нейтральной" под ноль.
Да ладно, в любой опенсорсной лицензии есть о том, что "как есть" и "на свой страх и риск". Как говорится, "умному достаточно". А случаи, когда отдельные разрабы портили свои исходники по каким-то своим соображениям бывали и раньше. Так что не вижу, что прямо "мир перевернулся".
Я не помню примеров, чтобы портили прям направлено для конкретных людей. Были взломы с инъекцией вирусов, майнеров. Или целенаправленная загрузка малварей под видом доброго ПО. Здесь же автор либы с > 1млн скачиваний в неделю так сделал.
Ну как один из примеров - https://techrocks.ru/2020/11/26/how-a-developer-broke-the-internet/
Пакет в 11 строк, отменил публикацию, "половина интернета" встала.
Окей, ну встала. Хотя хз, скорее разработка встала и не могли собрать новые релизы. Но файлы то на серверах не удалялись. А тут по факту чел вирус залил.
"Как есть" и "на свой страх и риск", оно же "отказ от ответственности" есть в любой лицензии на любой софт. Не видел ни одного исключения никогда. OpenSource здесь ничем не выделяется.
Именно так! Поэтому настоящий пионер должен быть всегда готов к такой ситуации, а также чётко следить за своими связями.
По некоторым другим открытым проектам могу сказать тоже самое, гадят'c. Что такое Open source? По идее кто-то стартует проект, кто-то вносит свою лепту и все вместе рука об руку работают на благо, но он всё равно управляем и управляем вполне определенными лицами. И куча людей работающих в этих проектах, включая с происхождением из России, настроена крайне враждебна. С одной стороны проект декларируется "открытым" и открытая лицензия. Но, зато выяснили, что на западе нет не только частной собственности, независимой судебной власти, прав и свобод, но и открытых проектов тоже. Это очень важный момент, так как в России нужны и свои, полностью независимые проекты с открытыми кодами.
Обвинять opensource - это как обвинять Интернет.
Админам по шапке надо дать. Я так сам на всех устройствах 24-го числа отключил все обновления и админам дал указание все обновления приостановить. Без разницы опен/не опен.
ФСТЭК же разродился рекомендациями не обновлять иностранное ПО и фирмварь через неделю с лишним.
Ну так это не прям специально обновляли. Часто lock файл в проект забывают кинуть, и сборка происходит не в изолированной среде - в докер контейнере, а прям на сервере. В итоге прилетают новые зависимости и бабах. То есть админы тут вообще не при чем. Скорее разрабы и devops.
Отдельные дураки бывает находятся, и делают в своём софте заявление. Но сообщество в целом к такому относится негативно.
Ну одно дело заявлять, там в консоль вывести сообщение, другое дело открытая диверсия, которая еще и по своим бьет
ну сидите пишите своё в чём проблема? идиотов везде хватает, хоть в опенсорс, хоть в толпе в метро
Вы пост читали? Я таки посмеялся, что friendly fire прилетел
вообще среди программеров на удивление высок процент гадов оказался. Раньше они как то вроде аполитичны были, а сейчас прям взвыли все... расплодилось червей....
это в вас просто играет стыд за бесцельно прожитые годы, никчемным быть трубно
Как сам программер, не могу не заметить, что таки да, в моем окружении всплыли неполживцы и "отменили" меня за поддержку операции ВС РФ.
увы. По-моему это связано с высокими зп программистов. Привыкли вкусно кушать, летать по заграницам и т.п. По сути чувствовали себя гражданами не России, а мира. Соответственно за политикой мало кто следил. А тут им все это обрубают. И объясняют причину - ваша Россия тут, понимаешь, агрессивничает на бедную-несчастную Ух..Украину. Как только завертелось все это люди пошли вскрываться. Слава Богу, что в моем ближнем окружении(я программист тоже) не оказалось практически тех, кто захотел свалить. Но часть просто не понимает что делать и кого винить - ходят потерянные. Часть испытывает негативные эмоции (связано с журналистикой и с теми запретами, что на них наложили - из-за недоработанного и сырого закона о фейках). Но вот часть однокурсников(из тех, что добился определенного положения в бизнесе) сразу стали обсуждать куда свалить, чтоб переждать и со стороны посмотреть. Особенно те, кто из Сибири в Москву перебрался( Такое чувство. что в Москве воздух заразный - вирус либерализьма)...
В посте на GitHub от имени НКО произошли существенные изменения:
Edit: I have been asked to withdraw this statement from GitHub.
Ахаха, неполживцы :) Но копию оставили, "A copy will be made available here"
Ссылочки поправьте.
По списку малвари уже запилили репу на гитхабе.
Может быть потом и какой-нибудь автоматическиц проверяльщик сделают.
А по белорусским гениалиссимусам - https://snippet.host/kvcb
Я со вчера затаив дыхание ждал, попадет ли кто из этих идиотов под раздачу! Таки не обманули ожиданий, молодцы!
А ссылки какие поправить? И какая ссылка на репу?
Тут вроде начали. Не знаю уж, что получится.
https://github.com/stravnik/toxic-repos
Во всяком случае в этом больше смысла, чем в непонятно чьем документе, который даже нельзя надежно склонировать если Гугл возбудится.
Ну и ссылка на этих, амеро-белорусов, которые якобы пострадали, сами же пишете выше, с гитхаба их жалобу потерли
Добавил, а амеробелорусы сами оставили там ссылку на их сообщение, так что там все ок.