Open Source

Guerre en Ukraine : pour protester contre l'invasion russe, un développeur sabote son paquet npm

Pour protester contre l'invasion russe en Ukraine, un développeur a délibérément saboté son paquet npm ce mois-ci.

La bibliothèque en question, node-ipc, est plutôt populaire puisqu'elle dépasse le million de téléchargements chaque semaine depuis le registre npm, et se trouve également dans des frameworks et outils majeurs comme par exemple le CLI (interface en ligne de commande) du framework Vue.js.



Mis au point par le développeur américain Brandon Nozaki Miller, connu sous le pseudonyme RIAEvangelist sur GitHub, node-ipc permet de gérer la communication inter-processus pour Node, en supportant les sockets et les protocoles TCP, TLS et UDP.

La Russie et la Biélorussie en ligne de mire

Dans les dernières versions de sa lib (10.1.1 et 10.1.2), le développeur a incorporé du code malicieux capable d'écraser un maximum de fichiers pour les utilisateurs localisés en Russie ou en Biélorussie en remplaçant l'intégralité de leur contenu par un symbole en forme de coeur.

Le code en question, commité pour la première fois le 7 mars, se charge de consulter l'adresse IP externe du système avant de décider de son passage à l'action.

En complément, les bundles de l'outil à compter de sa version 9.2.2 embarquaient un module prénommé peacenotwar, qui déposait automatiquement un fichier texte "WITH-LOVE-FROM-AMERICA.txt" sur le bureau des utilisateurs de la bibliothèque. Le fichier en question comportait des messages appelant à la paix dans le monde et retranscrits dans plusieurs langues.

Le problème, c'est que dès lors que ces versions étaient utilisées comme dépendances dans un projet, le module peacenotwar se retrouvait embarqué et exécuté, déposant ses fichiers sur un grand nombre de postes.

La version 10.1.3 a rapidement été déployée, sans embarquer la fonctionnalité destructrice, et les versions 10.1.1 et 10.1.2 ont quant à elles été retirées du registre npm, tout comme la version 9.2.2.



De son côté, le développeur a mis à jour l'intro du fichier README de son projet sur GitHub, en indiquant "merci pour toutes les pizzas gratuites, et merci à la police qui est venue me swater, c'était vraiment des types cools".

Une initiative condamnée par la communauté open source

Ce n'est pas la première fois qu'un développeur fait usage d'un de ses projets pour amplifier la portée de son message ou de ses revendications personnelles : en janvier, un autre développeur avait volontairement corrompu 2 de ses paquets npm largement utilisés dans le monde (faker.js et colors.js) afin de protester contre le fait que des sociétés inscrites au classement Fortune 500 exploitaient son code open source sans le financer.

L'incident a également soulevé de nombreuses réactions de mécontentement de la part de la communauté open source, qui juge que ce genre d'initiative immature et dangereuse porte préjudice à la crédibilité des logiciels libres de manière générale.

Nous assistons avec ce genre d'acte à un phénomène nouveau et à fort impact sur la sécurité et la stabilité des projets — à tel point que l'on parle désormais non plus de malware mais de "protestware" —, qui doit désormais être sérieusement pris en compte par les entreprises et utilisateurs d'outils open source.

À lire aussi sur Les Joies du Code :

⚠️ Des milliers de paquets npm exposés en raison de noms de domaine expirés

🇺🇦 Guerre en Ukraine : à travers le chaos russe, l'incroyable résilience des développeurs

À propos de l'auteur
Nicolas Lecointre
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.
Événements

Développeurs JavaScript : vous pensez tout savoir ? Passez au niveau supérieur à la conférence dotJS 2025 !

Participez à la conférence JavaScript dotJS 2025 !

Le J c’est le S — Être développeur, c’est passer des heures devant son écran à coder (et à débuguer 🥲), à éplucher des repos GitHub et à enchaîner les articles tech pour essayer de suivre le rythme effréné des nouveautés dans son domaine.

Mais soyons honnêtes : glaner des infos ici et là, c’est bien, les entendre directement des meilleurs experts et pouvoir échanger avec eux, c’est encore mieux !

Et c’est justement ce que vous propose la conférence dotJS 2025 :

🔥 Les dernières évolutions de JavaScript et de son écosystème, expliquées par celles et ceux qui les façonnent.

🎤 Un line-up d’intervenants d’exception, qu’on a rarement l’occasion de voir en France.

🙋‍♂️ L’occasion unique de poser vos questions en direct à des ingénieurs et créateurs de renom.

🤝 1500 développeurs réunis en un seul lieu pour networker, partager leurs idées et créer des opportunités professionnelles.

Le 3 avril 2025, prenez part à l’expérience dotJS au théâtre des Folies Bergère à Paris pour propulser votre expertise JavaScript et votre carrière ! 🚀

Parce que JavaScript, ce n’est pas juste gérer des classes CSS dynamiques ou ajouter des listeners à tout-va (je vous vois 👀), dotJS est l’occasion idéale pour garder une longueur d’avance sur les évolutions du langage, anticiper les transformations majeures liées à l’IA et capter les tendances qui façonneront votre métier demain.

Je réserve ma place pour dotJS 2025 🤩
Le jeudi 3 avril 2025


/* En partenariat avec dotConferences */

Pourquoi participer à dotJS 2025 ?

Vous êtes développeur initié de JavaScript ? dotJS est là pour repousser vos limites, stimuler votre curiosité sur l’écosystème de ce langage — qui ne laisse aucun développeur insensible — et vous donner l’opportunité d’échanger avec 1500 autres passionnés du web !

Un meme sur JavaScript avec Leonardo DiCaprio qui rit : Les gens qui apprennent à coder en JavaScript : 'je vais utiliser array.sort() pour trier cette liste de nombres.' JavaScript : [1, 100000, 21, 30, 4]

Comme vous le savez, j’ai eu le plaisir de participer en octobre dernier à dotAI, la conférence IA de dotConferences, qui est aussi l’organisateur de dotJS.

À l’image de dotAI, dotJS proposera une alternance entre différents formats de conférences. Ayant assisté à dotAI, j’avais d’ailleurs adoré son rythme et sa construction, on peut s’attendre à une organisation tout aussi bien orchestrée pour cette conférence à venir.

Vous y trouverez donc :

  • Des talks condensés (20 minutes max) construits pour maintenir votre attention, accompagnés d’une petite session de questions/réponses avec le public
  • Des lightning talks énergisants de 10 minutes chacun après le déjeuner
  • Un networking game géant pour briser la glace, rencontrer d’autres passionnés et élargir votre réseau dans une ambiance conviviale

Cerise sur le gâteau, la conférence dotJS, qui rayonne déjà auprès de la communauté JS, célèbrera à l’occasion de cette nouvelle édition son 10ème anniversaire ! 🥳

Prenez part à la conférence JavaScript dotJS 2025
(-15% avec le code JOIESDUCODE15)
🎟️

Au programme de dotJS 2025

Pour cette nouvelle itération de la conférence JavaScript, un panel de speakers de renom prendra place sur la scène des Folies Bergère.

Le line-up des intervenants de la conférence dotJS 2025

Parmi les intervenants confirmés, voici un petit aperçu des conférences qui ont d’ores et déjà attisé ma curiosité :

  • Sarah Drasner, directrice principale de l’ingénierie Core Web, Android, iOS et infrastructures multiplateformes chez Google
  • Le développeur JS canadien Wes Bos, figure incontournable sur les réseaux, explorera comment exécuter des modèles IA avec JavaScript
  • Kyle Simpson, auteur des livres à succès "You Don’t Know JS", prévoit quant à lui d’évoquer le passage au Web 2.5
  • Un lightning talk de Vadim Smirnov, qui montrera comment reproduire les graphiques hypnotisants de ce bon vieux Windows Media Player à l’aide de l’API Web MIDI (nostalgie garantie ☺️)

Et enfin, vous pourrez également assister à une conférence de Ryan Dahl, qui n’est autre que le créateur de Node.js et Deno ! Si l’on en croit son récent post sur X, il pourrait d’ailleurs profiter de la conférence dotJS 2025 pour faire une annonce en exclu. 🫣

On s'y retrouve ?

dotJS 2025 vous offrira un tour d’horizon complet du JavaScript moderne, ponctué de conférences pointues qui vous aideront à affûter vos compétences, repousser les frontières du langage et comprendre comment l’IA est en train de redéfinir le métier de développeur.

Au passage, je serai aussi sur place, alors n’hésitez pas à me faire signe sur mes réseaux si vous avez envie qu'on partage un café ensemble ! 😉

Plus on est de fous, plus on jQuery (oh l’affront) ! Ne venez pas seul(e) à dotJS : faites-en un événement d’équipe !

C’est le moment de convaincre votre chef d’offrir à votre dream team une immersion unique dans l’écosystème JavaScript à même de booster votre vision et vos compétences.

Au-delà des conférences de haut niveau, dotJS est une opportunité idéale pour renforcer la cohésion d’équipe dans un cadre stimulant et inspirant.

🎁 En plus, grâce à votre humble serviteur, vous pouvez même profiter d’une réduction de 15% sur le tarif regular des billets avec le code JOIESDUCODE15, que demander de plus ? 😇

Rendez-vous le 3 avril !

Je réserve ma place pour
la conférence JavaScript dotJS 2025
🚀

Aperçu de la conférence dotJS 2024 dans le théâtre des Folies Bergère