Стало известно, что разработчик пакета node-ipc, который используется в открытой среде Java-разработки - Vue-CLI, внес изменения в код. По его задумке, при развертывании пакета на сервере с Российским или Белорусским ip-адресом, должен был запуститься скрипт, удаляющий данные на сервере и заменяющий их на эмоджи сердечки.
Изменения кода были выявлены, однако, он все-таки успел попасть на тысячи серверов со всего мира, в результате чего начали происходить незапланированные сбои в работе в тех странах, где этого быть не должно.
Изменения в пакете уже были помечены как уязвимость CVE-2022-23812. Вредоносный код был удален, а работа систем восстановлена, однако инцидент вызвал шквал эмоций и негатива. Деятельность разработчика пакета в общем проект прекращена, его профиль на Гитхабе закрыт, из-за наплыва негативных комментариев.
Открытое программное обеспечение не может быть использовано в качестве оружия или политики, это ставит под сомнение весь принцип его работы.
Этот поступок ужасен, он полностью убивает доверие к открытому ПО.
Видимо не все разработчики понимают как должен работать Open Source.
Чертовски тупое решение!
Вот такие комментарии оставили зарубежные пользователи на соответствующей ветке портала Reddit.
Ситуация недопустимая, очевидно сейчас открытый код пройдет настоящую проверку на прочность. Первые слабые звенья уже начинают ломаться.
Появилась информация, что вредоносный код таки был успешно развернут на Белорусском сервере какой-то американской правозащитной организации. Все данные были успешно заменены на сердечки, компания готовится к возбуждению уголовного дела по данному факту.
Если вы дочитали статью, то не забудьте подписаться на канал Plectrom, чтобы всегда оставаться в курсе последних новостей в мире Linux!
#технологии #linux #open source #линукс #java
