خرابکاری: کد به فایل های حذف شده از بسته های محبوب NPM در روسیه و بلاروس اضافه شده است

بزرگنمایی (اعتبار: Getty Images)

یک توسعه‌دهنده در حال افزودن کد مخرب به یک بسته منبع باز محبوب که فایل‌های رایانه‌های واقع در روسیه و بلاروس را به عنوان بخشی از اعتراضی که خشم بسیاری از کاربران را برانگیخت و نگرانی‌هایی را در مورد امنیت نرم‌افزار منبع باز رایگان حذف کرد، دستگیر شد.

برنامه node-ipc ارتباطات بین فرآیندی راه دور و قابلیت های شبکه عصبی را به دیگر کتابخانه های منبع باز اضافه می کند. به عنوان یک وابستگی، node-ipc به طور خودکار دانلود می شود و در کتابخانه های دیگر، از جمله Vue.js CLI، که بیش از 1 میلیون دانلود در هفته دارد، گنجانده می شود.

اقدام عمدی و خطرناک

دو هفته پیش، نویسنده node-ipc نسخه جدیدی از کتابخانه را منتشر کرد که به ترتیب رایانه‌های روسیه و بلاروس، کشورهایی که به اوکراین حمله می‌کنند و از تهاجم پشتیبانی می‌کنند، خراب می‌کند. نسخه جدید یک ویژگی اضافه می کند که آدرس IP توسعه دهندگانی را که از node-ipc در پروژه های خود استفاده کرده اند تأیید می کند. هنگامی که آدرس IP در روسیه یا بلاروس قرار می گیرد، نسخه جدید فایل ها را از دستگاه حذف می کند و قلب ایموجی را جایگزین آنها می کند.