Open Source

Guerre en Ukraine : pour protester contre l'invasion russe, un développeur sabote son paquet npm

, commit du 22 Mar 2022

Pour protester contre l'invasion russe en Ukraine, un développeur a délibérément saboté son paquet npm ce mois-ci.

La bibliothèque en question, node-ipc, est plutôt populaire puisqu'elle dépasse le million de téléchargements chaque semaine depuis le registre npm, et se trouve également dans des frameworks et outils majeurs comme par exemple le CLI (interface en ligne de commande) du framework Vue.js.



Mis au point par le développeur américain Brandon Nozaki Miller, connu sous le pseudonyme RIAEvangelist sur GitHub, node-ipc permet de gérer la communication inter-processus pour Node, en supportant les sockets et les protocoles TCP, TLS et UDP.

La Russie et la Biélorussie en ligne de mire

Dans les dernières versions de sa lib (10.1.1 et 10.1.2), le développeur a incorporé du code malicieux capable d'écraser un maximum de fichiers pour les utilisateurs localisés en Russie ou en Biélorussie en remplaçant l'intégralité de leur contenu par un symbole en forme de coeur.

Le code en question, commité pour la première fois le 7 mars, se charge de consulter l'adresse IP externe du système avant de décider de son passage à l'action.

En complément, les bundles de l'outil à compter de sa version 9.2.2 embarquaient un module prénommé peacenotwar, qui déposait automatiquement un fichier texte "WITH-LOVE-FROM-AMERICA.txt" sur le bureau des utilisateurs de la bibliothèque. Le fichier en question comportait des messages appelant à la paix dans le monde et retranscrits dans plusieurs langues.

Le problème, c'est que dès lors que ces versions étaient utilisées comme dépendances dans un projet, le module peacenotwar se retrouvait embarqué et exécuté, déposant ses fichiers sur un grand nombre de postes.

La version 10.1.3 a rapidement été déployée, sans embarquer la fonctionnalité destructrice, et les versions 10.1.1 et 10.1.2 ont quant à elles été retirées du registre npm, tout comme la version 9.2.2.



De son côté, le développeur a mis à jour l'intro du fichier README de son projet sur GitHub, en indiquant "merci pour toutes les pizzas gratuites, et merci à la police qui est venue me swater, c'était vraiment des types cools".

Une initiative condamnée par la communauté open source

Ce n'est pas la première fois qu'un développeur fait usage d'un de ses projets pour amplifier la portée de son message ou de ses revendications personnelles : en janvier, un autre développeur avait volontairement corrompu 2 de ses paquets npm largement utilisés dans le monde (faker.js et colors.js) afin de protester contre le fait que des sociétés inscrites au classement Fortune 500 exploitaient son code open source sans le financer.

L'incident a également soulevé de nombreuses réactions de mécontentement de la part de la communauté open source, qui juge que ce genre d'initiative immature et dangereuse porte préjudice à la crédibilité des logiciels libres de manière générale.

Nous assistons avec ce genre d'acte à un phénomène nouveau et à fort impact sur la sécurité et la stabilité des projets — à tel point que l'on parle désormais non plus de malware mais de "protestware" —, qui doit désormais être sérieusement pris en compte par les entreprises et utilisateurs d'outils open source.

À lire aussi sur Les Joies du Code :

⚠️ Des milliers de paquets npm exposés en raison de noms de domaine expirés

🇺🇦 Guerre en Ukraine : à travers le chaos russe, l'incroyable résilience des développeurs

À propos de l'auteur
Nicolas Lecointre
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.
Voir sa page auteur →
Événements

Hackathon grandeur nature : codez au Parc des Princes, 150 000 dollars à la clé

, commit du 22 Mar 2022

Participez au hackathon Hacking Paris de Chiliz, du 11 au 13 juillet 2025 au Parc des Princes

Hackathon Hacking Paris 2025 — Croyez-moi, des hackathons, j’en ai vu passer. Mais DANS UN STADE et qui plus est au Parc des Princes, permettez-moi de vous le dire : c’est du jamais vu.

# En partenariat avec Chiliz

À vos agendas : du 11 au 13 juillet 2025, Chiliz, qui propose aux fans de sport et d'e-sport de se rapprocher de leurs clubs et athlètes préférés, organise un hackathon grandeur nature dans l’antre historique du PSG.

Hacking Paris est un événement 100% gratuit, pensé pour les développeurs et ceux qui s’intéressent à la blockchain, avec pour objectif de donner vie à vos projets pour faire évoluer l’écosystème.

Je participe au hackathon 🤩

150 000 dollars à la clé

Vous avez bien lu. CENT. CINQUANTE. MILLE. DOLLARS.

Dans ce hackathon, les meilleures idées ne repartiront pas juste avec les félicitations du jury et un .zip de leur projet. 👀

150 000 dollars sont mis en jeu par Chiliz pour récompenser les projets gagnants, répartis sur 5 grandes thématiques :

  • Utilisation des fan tokens : 50 000 $
  • Contenus créés par les fans et plateformes de monétisation : 24 000 $
  • Outils ou services DeFi (finance décentralisée) : 22 000 $
  • Agents ou outils basés sur l’IA pour le sport : 22 000 $
  • Fonctionnalités et connectivité du portefeuille Socios : 22 000 $
  • Récompenses spéciales : 10 000 $

Je m’inscris à Hacking Paris ⚽️

Construisez le futur de l’engagement sportif

Hacking Paris invite les développeurs à imaginer des applications décentralisées capables de réinventer la relation entre les clubs et leurs supporters. 🙌

Fan tokens, gouvernance décentralisée, NFTs, expériences immersives dans les stades… Cet événement XXL sera l’occasion de monter vos projets, et cela durant les trois jours du hackathon.

Le stade du Parc des Princes, où prendra lieu le hackathon Hacking Paris

Pas besoin d’être un expert de la Chiliz Chain pour participer : les ressources et la documentation nécessaires sont fournies — accessibles depuis le site de l’événement —, et des mentors seront présents sur place pour vous accompagner, avec une première journée de workshops pour vous permettre de prendre en main les outils et affiner votre projet.

Dès le début de soirée de cette première journée (vendredi 11 juillet) : les choses sérieuses commencent. 🔥

Vous serez alors libres de vous lancer sur le développement des solutions que vous aurez imaginées, qui devrait vous tenir en haleine jusqu’au dimanche midi, où débuteront les démos des projets.

Des invités de renom devraient également prendre part à l’événement (line-up à venir), de quoi nourrir l’effervescence qui régnera au Parc des Princes pendant ces trois jours d’innovation.

Pourquoi participer ?

En plus des prix exceptionnels, Hacking Paris permet de se connecter à une communauté Web3 internationale, d’échanger avec des experts du secteur et d’explorer des opportunités concrètes dans l’écosystème Chiliz, au-delà du hackathon.

Les projets retenus pourront quant à eux bénéficier d’un accompagnement après l’événement, et gagner en visibilité auprès d’acteurs clés du sport et de la tech.

Je m’inscris dès maintenant pour Hacking Paris — du 11 au 13 juillet au Parc des Princes (GRATUIT) 🏟️

Plus de posts

Quand je suis en pause café et qu'on m'avertit que le chef me cherche partout

Quand j'entends le commercial présenter son nouveau projet dans l'open space

Quand j'ai oublié de sauvegarder une grosse requête SQL écrite la semaine dernière

Quand notre démo client est au point