Javascript-bibliotek overskriver russiske filer med hjertesymboler

18. marts kl. 10:108
Javascript-bibliotek overskriver russiske filer med hjertesymboler
Illustration: Bigstock/REDPIXEL.PL.
NPM-pakke overskrev russiske og belarussiske brugeres filer med hjertesymboler.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Udvikleren af ​​Javascript-biblioteket Node-ipc, der blandt andet bruges af frameworket Vue.js, har ændret sin kode således, at den registrerede om værtscomputeren havde IP-adresse i Rusland eller Belarus. Derefter overskrev den alle tilgængelige filer med et hjertesymbol, skriver The Register.

Node-ipc har over en million ugentlige downloads fra NPM-registret.

Det gælder for versionerne 10.1.1 og 10.1.2, og efterfølgende er version 10.1.3 blevet udgivet uden den ondsindede kode

»Den ondsindede kode var beregnet til at overskrive vilkårlige filer afhængigt af geo-placeringen af ​​brugerens IP-adresse,« skriver Github.

Artiklen fortsætter efter annoncen

Sidenhen er version 11 og 9.2.2 blevet frigivet. Med dem følger en pakke kaldet 'Peacenotwar', der opretter filer kaldet 'WITH-LOVE-FROM-AMERICA.txt' på brugernes skrivebord og OneDrive-mapper.

Version 9.2.2, 10.1.1 og 10.1.2 er nu ikke længere en del af NPM-registret.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
22. marts kl. 13:14

Det viser jo meget godt at når man hiver kode eller binaries ind, så skal man enten reviewe koden grundigt (og lade være med at hente binaries) eller finde nogen man stoler på der har gjort det. På samme måde skal man finde nogen man stoler på der bygger binaries.

"Dem man stoler på" kan være udvikleren, en virksomhed, en mindre gruppe af personer, etc. Men det må aldrig være "communitiet" for det er det samme som blind tillid. Basalt set skal man retfærdigøre overfor sig selv (og den virksomhed man er ansat i) at give disse mennesker hvad der svarer til admin/root adgang til de computere kan skal køre på.

4
21. marts kl. 11:28

GNU Parallel er ikke upåvirket af krigen, men der bliver altså ikke sat trojanske heste ind i koden af den grund.

Sidste version fik kodenavnet "Donetsk Luhansk". Næste version (20220322) får nok kodenavnet "Маріуполь".

6
22. marts kl. 11:12

Sidste version fik kodenavnet "Donetsk Luhansk".
Hvem er det så en støtte til?

5
21. marts kl. 12:25

Næste version (20220322) får nok kodenavnet "Маріуполь".

;-)

3
18. marts kl. 16:33

Det var da noget af det dummeste jeg har set - det er jo end ikke sikket det kun rammer Russer, men igen - her ser vi hvor dummer amerikaner kan være når de lukker hjernen. Jeg er overbevist om, at JAVA næppe bør være fortaler for "destruktiv virus", for reelt så er det et virus de public har anderkendt de har lavet. Uanset holdning til de tovlige sovjetbørster, så er det dumt gjort.

8
24. marts kl. 15:19

Dette har intet med java at gøre, eller Oracle der udvikler java.

2
18. marts kl. 15:55

Det er jo så en reminder om hvor farligt det er at have eksterne libraries i sin kode.

Uanset hvor retfærdiggjorte committerne så end måtte føle sig, så er det en uskik, som sætter troværdigheden af disse biblioteker i et dårligt lys.

1
18. marts kl. 15:44

For at vise, at godhed er mulig.

For ikke at være lige så ond og derfor støtte en (evt.) ondsindet fjendes argumenter.

For at sanke gloende kul på modstanderens isse.