Sber 的公告写道:“目前,挑衅性媒体内容被引入免费分发的软件的情况已经变得更加频繁。此外,各种内容和恶意代码可以被嵌入到用于软件开发的免费分发的库中。使用此类软件可能导致个人和企业计算机以及IT基础设施感染恶意软件”。
在迫切需要使用该软件的情况下,Sber建议客户用杀毒软件扫描文件或对源代码进行人工审查–这个建议对大多数用户来说可能不切实际,甚至不可能。虽然公告的内容很笼统,但很可能是指 3 月早些时候发生的事件,当时一个广泛使用的 JavaScript 库的开发者添加了一个更新,覆盖了位于俄罗斯或白俄罗斯机器上的文件。据称,该更新是为了 *** 战争而实施的,它引起了开源社区许多人的警觉,担心它会破坏对开源软件整体安全性的信心。
该更新是在一个名为node-ipc的JavaScript模块中进行的,根据NPM软件包管理器的数据,该模块每周被下载约100万次,并被流行的前端开发框架Vue.js用作依赖。
据The Register报道,3月7日和3月8日对node-ipc的更新增加了一些代码,检查主机的IP地址是否位于俄罗斯或白俄罗斯,如果是,就用一个心形符号尽可能多地覆盖文件。该模块的后期版本取消了覆盖功能,而是在用户的桌面上投放了一个文本文件,其中包含一条信息:”战争不是答案,不管它有多糟糕”,并附有Matisyahu的一首歌的链接。
