Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
13.04.2022

Разработчик event-source-polyfill разослал россиянам послание через новую версию библиотеки

Разработчики используют свои проекты с открытым исходным кодом как способ выражения политической позиции. В частности, они добавляют в последние версии проектов, широко использующихся в приложениях многих организаций, код с ошибками или сообщения протестного характера и даже умышленно портят функционал, не задокументировав эти изменения заранее. Когда приложение получает обновленную версию проекта, неожиданно для пользователей запускается этот заново добавленный код.

Недавно разработчик npm-пакета event-source-polyfill выразил российским пользователям свой протест против военной операции на территории Украины. Как сообщает Bleeping Computer, 17 марта нынешнего года российский разработчик под псевдонимом Yaffle добавил в свою популярную библиотеку event-source-polyfill интересный фрагмент кода.

Данная библиотека предназначена для реализации существующих функций JavaScript в браузерах, которые их не поддерживают. Это делает ее очень популярной – event-source-polyfill используется более 135 тыс. GitHub-репозиториев и еженедельно загружается 600 тыс. раз из npm.

Недавно выпущенная версия библиотеки 1.0.26 заставляет приложения, в которых она используется, отображать для пользователей в России антивоенные сообщения через 15 секунд после запуска. Спустя почти четыре недели после релиза данная версия все еще присутствует в npm и GitHub.

Это уже третий в нынешнем году случай, когда разработчики использовали свои проекты с открытым исходным кодом для выражения протеста. В январе саботаж библиотек colors и faker их создателем потенциально «сломал» тысячи использующих их производственных приложений, а выпущенная в прошлом месяце деструктивная версия node-ipc удаляла все данные с жестких дисков пользователей в России и Беларуси.

Однако случай с event-source-polyfill отличается от двух предыдущих, поскольку новая версия библиотеки не причиняет никакого вреда, а даже рекомендует использовать надежные источники информации, доступ к которым можно получить через Tor.