GitHub 上的一份公告称,某款流行开源软件的技术专家兼维护者故意破坏了项目代码,以擦除在俄罗斯和白罗斯地区使用该程序的计算机上的数据。然而如此短视的行为,还是遭到了开源社区的猛烈抨击。这一事件表明“数字黑客主义”存在潜在的不利因素,尤其是容易误伤使用相关代码的普通人。
node-ipc 中的区域触发恶意代码
Bleeping Computer 周四报道称,RIAEvangelist 是名为“node-ipc”的开源软件维护者。作为一款网络工具,其周下载量有时可超过百万次。
然而最近,该维护者发布了名为“peacenotwar”和“oneday-test”两个模块。前者被其称作“抗议软件”,并作为依赖项而包含在 node-ipc 的代码中。
带有多语种“和平”信息的 WITH-LOVE-FROM-AMERICA.txt 文件
这意味着 node-ipc 的某些版本,可能与 peacenotwar 捆绑到一起:
你是否知晓在俄乌冲突期间发生的任何其它黑客事件?我们很乐意听取大家的意见。
你可使用非工作用的电话或计算机,通过 Signal、Wickr 或电子邮件方式,与 Joseph Cox 安全取得联系。
node-ipc 最新与次新版本的 Vue.js CLI 提取
RIAEvangelist 在代码描述中写道:“这段代码是非破坏性的例子,说明了控制你的节点模块的重要性。同时它也可以作为一种非暴力的抗议形式,以反对当前俄乌冲突造成的威胁。不过出于礼貌,只有在不存在时,该模块才会在你的用户桌面上添加一条呼吁和平的信息”。
此外他鼓励更多人在项目中添加参与数字抗议的代码,并在 peacenotwar 的 GitHub 页面上,贴上了 YouTube 视频链接、以及来自音乐艺术家 Mattisyahu 的和平歌曲《One Day》的歌词。
Lukas Mertens 向所有恶意 node-ipc 版本的使用者发出警告
糟糕的是,在 GitHub 上的另一篇帖子中,有人正在斥责 node-ipc 的某些版本,开始用心形符号覆盖俄罗斯与白罗斯地区的计算机用户的文件。
不过在致 Motherboard 的一封电子邮件中,RIAEvangelist 宣称没有引入任何可擦除计算机的实际代码,而是只在桌面上放置一个文件。
GitHub 开发者 MIDSPIKE 的分析截图
然后 RIAEvangelist 指向了一个据说其拥有的一个 Twitter 账户,声称其现已成为黑客的目标、且领英(LinkedIn)个人资料也不再可用。
最终在 6 个小时前,他在 node-ipc 的 GitHub 主页上发表了更新,内容为“感谢所有免费披萨和出现在我身边的警察,大家伙可都是好人”。
即便如此,其评论页面还是被许多愤怒的开发者所占据,直指这番行为是自由和开源软件(FOSS)社区的污点,且 RIAEvangelist 自毁了工作事业前程。