在周下载量百万的npm包“node-ipc”以反战之名毒害供应链后,又有开发者添加反战-war元素到您的代码中。3月17日,俄罗斯开发人员ViktorMukhachev(又名Yaffle)向他流行的npm库“event-source-polyfill”添加了一段有趣的代码。此代码在1.0.26版本中引入,意味着使用此库构建的应用程序将在启动后15秒向俄罗斯用户显示反战消息。Polyfill包在不受支持的网络浏览器上启用现有的JavaScript功能。所以,本文的主角:event-source-polyfill包将Firefox的“EventSource”API扩展到其他网络浏览器。目前,该软件包被超过135,000个GitHub存储库使用,并且每周在npm上的下载次数超过600,000次。与“node-ipc”清理俄罗斯用户硬盘数据的激进风格不同,“event-source-polyfill”应用程序不会删除任何数据或销毁应用程序,而是敦促俄罗斯结束其对乌克兰的“无端入侵”并告诫俄罗斯民众提防“片面”新闻,并寻求可靠的新闻来源,例如BBC的Tor网站(...)。最后一行代码还在文本框通知结束后将用户定向到Change.org反战请愿书。有意思的是,在上一次“node-ipc”包中毒事件中,网友们铺天盖地地谴责node-ipc的作者,称这是对整个开源社区公信力的“巨大损害”。相比之下,虽然新版event-source-polyfill包的恶意代码也引发了激烈的讨论,但也有不少人支持作者,认为这“只是代码”。双方进一步在GitHub上展开了较量。辩论。“对于一些人来说,这是恶意软件,而对于俄罗斯的一些人来说,这可能是有价值的信息,很有帮助。”“对我来说,破坏是指该行为的意图是破坏项目的初衷。这种行为似乎与项目的初衷不符,因此很卑鄙,但并不是真正的破坏。”
