著名npm包被毁,GitHub强烈谴责!开源作者因反俄给代码投毒遭猛烈抨击

2022-03-21 10:42:20 浏览数 (1)


新智元报道  

编辑:桃子 拉燕

【新智元导读】继此前faker.js开源作者删除所有代码后,近日,开源代码的维护者因反俄给node-ipc库中添加了恶意代码,遭到GitHub社区的强烈谴责。

开发者自毁代码,只为不让俄罗斯人使用。

据Github上发布的一份公告称,一位流行的开源软件的技术专家和维护者故意破坏了他们自己的代码。

他们向非常受欢迎的node-ipc库中添加了恶意代码,用「心脏」表情符号替换了文件。

并将遭到破坏的npm程序库版本称为「新软件」,并非「恶意软件」。

这么做的目的就是为了谴责俄罗斯入侵乌克兰,但是这还会影响使用该代码的其他开发者,因此遭到了GitHub社区强烈反对。

开发者投毒「社死」

首先简单介绍下node-ipc库。

node-ipc 是用于本地和远程间通信的 nodejs 模块,支持Linux、Mac 和 Windows 系统。它还支持底层unix和UDP的windows 套接字,并保护TLS 和TCP 套接字的安全。

它是解决Node.js 中复杂多进程 Neutral Networking 的很好的解决方案。截止 9.2.2版本,该模块使用peacenotwar模块。

开发者自毁代码这件事适于3月8日。

当时npm的维护者 Brandon Nozaki Miller (又名 RIAEvangelist) 编写了源代码,并发布了名为peacenotwar和oneday-test两个模块。

部分恶意代码

peacenotwar被RIAEvangelist称作「抗议软件」,并作为依赖项而包含在node-ipc的代码中。

这意味着node-ipc的某些版本,可能与peacenotwar捆绑到一起。

带有多语种和平信息的 WITH-LOVE-FROM-AMERICA.txt 文件

RIAEvangelist 在代码描述中写道,

这段代码是非破坏性的例子,说明了控制你的节点模块的重要性。同时它也可以作为一种非暴力的抗议形式,以反对当前俄乌冲突造成的威胁。不过出于礼貌,只有在不存在时,该模块才会在你的用户桌面上添加一条呼吁和平的信息。

此外,RIAEvangelist鼓励更多人在项目中添加参与数字抗议的代码,并在 peacenotwar 的 GitHub 页面上,贴上了 YouTube 视频链接、以及来自音乐艺术家 Mattisyahu 的和平歌曲《One Day》的歌词。

安全公司 Snyk 的研究员Liran Tal一直追踪这些变化并在周三发布了调查结果。

Tal表示,RIAEvangelist在npm上维护了超过40个包。任何系统只要与俄罗斯或白俄罗斯的地理位置相匹配,就会发生非常明显的滥用和关键的供应链安全事件,这些 npm 包将被直接调用。

RIAEvangelist这一行为也在推特和GitHub社区上遭到抨击,简直就是大型社死现场。

「这就像特斯拉故意输入代码来检测某些司机。」

「如果被删除的文件实际上是重要内容,其他人怎么办?」

还有人表示,「有人用行动表明开源是有国界的。供应链污染并非良策。」

一位俄罗斯人出来表示,这不会阻止战争,只会损伤其他人的利益。

RISC-V成唯一选择

Arm在此前也宣称将不再给俄罗斯提供相关服务。虽然Arm自己不生产处理器,但博通、高通等芯片公司却需要Arm的产品。

所以,一旦Arm停止在俄的服务,相关服务商将会面临困境。

但俄罗斯并不是一点办法都没有。

俄罗斯搜索引擎公司Yandex在本月初的投资者大会上曾表示,「我们相信,俄罗斯现有的数据中心容量和其他相关的技术将使俄罗斯能够在至少未来12到18个月内继续正常运营。」

但是,另一份声明则表示,「如果俄罗斯的业务或产品中使用的硬件、软件或其他技术的供应长期暂停,如果我们无法获得替代来源,未来我们的运营可能会受到重大不利影响。」

眼下,x86和Arm都停止供应,只剩下RISC-V是俄罗斯仅有的选择。

RISC-V是一个基于精简指令集(RISC)原则的开源指令集架构(ISA)。

与大多数指令集相比,RISC-V指令集可以自由地用于任何目的。它允许任何人设计、制造和销售RISC-V芯片和软件。

虽然这不是第一个开源指令集,但它具有重要意义。设计者考虑到了这些用途中的性能与功率效率。该指令集还具有众多支持的软件,这解决了新指令集通常的弱点。

RISC-V指令集的设计考虑了小型、快速、低功耗的现实情况来操作,但并没有对特定的微架构做过多的设计。

和主流的x86和Arm芯片相比,目前的RISC-V尚未建立起完整的生态,在高性能领域还未取得突出的成绩。

有专家表示,RISC-V 和 Arm 打成平手,可能还需要数年时间。

而在2021年,俄罗斯从事技术投资的企业集团Rostec已与服务器公司Yadro和硅设计公司 Syntacore达成协议,将为计算机、笔记本电脑和笔记本电脑开发RISC-V处理器。

报告中表明,Syntacore将开发出足够强大的RISC-V芯片,到2025年能为政府和教育系统提供足够动力。

据报道称,该项目的成本约为300亿卢布(约4亿美元),该项目的领导者计划销售60,000个以RISC-V为内核作为主要处理内核的新处理器系统。

报告称,目标是构建一个8核的处理器,运行频率为2GHz,使用12纳米工艺。

在项目资金中,三分之二将由项目的主要客户(如Rostec和其子公司)提供,而最后三分之一则来自联邦预算。

这些处理器将在俄罗斯教育和科学部以及卫生部试运行。

参考资料:

https://threatpost.com/dev-sabotages-popular-npm-package-protest-russian-invasion/178972/

https://www.freebuf.com/news/325223.html

https://www.bleepingcomputer.com/news/security/big-sabotage-famous-npm-package-deletes-files-to-protest-ukraine-war/amp/

0 人点赞