Protestware in NPM-Paket: Antikriegsbotschaft auf Webseiten geschmuggelt

Ein russischer Entwickler hat seinem NPM-Paket eine Protestfunktion gegen den Ukrainekrieg hinzugefügt. In der Open-Source-Community ist die Änderung umstritten.

Artikel veröffentlicht am ,
Ob in diesem Paket auch umstrittene Funktionen stecken?
Ob in diesem Paket auch umstrittene Funktionen stecken? (Bild: Devanath/Pixabay)

Etwa 15 Sekunden nach dem Öffnen der Webseite erscheint eine Nachricht. Sie prangert die "sinnlose Invasion" der Ukraine an und stammt aus einem Update des NPM-Pakets event-source-polyfill, das von etlichen Projekten eingebettet wird. Dies ist damit bereits um die dritte Protestware, die über NPM verteilt wird, und führt zu Diskussionen in der Open-Source-Szene.

Stellenmarkt
  1. Technical Consultant (m/w/d)
    get IT green GmbH, Freiburg im Breisgau
  2. Netzwerk Security Analyst (m/w/d)
    Radeberger Gruppe KG, Frankfurt
Detailsuche

Den entsprechenden Code hat der russische Entwickler mit dem Alias Yaffle laut dem Onlinemagazin Bleepingcomputer bereits am 17. März hinzugefügt. Polyfill-Bibliotheken erweitern insbesondere ältere Browser per Javascript um Funktionen, die sie eigentlich nicht unterstützen. Das nun modifizierte event-source-polyfill erweitert Browser um Mozillas Eventsource-API. Das Paket wird von über 135.000 Projekten auf Github verwendet und wöchentlich 600.000-mal von NPM heruntergeladen.

Im Unterschied zu anderer Protestware, die bereits als NPM-Paket verteilt wurde, löscht die Polyfill-Bibliothek keine Daten, sondern zeigt russischen Internetnutzern ein Pop-up an, das gegen den Krieg protestiert und auf den Tor-Browser hinweist, um die Zensur im russischen Internet zu umgehen. Anschließend werden die Nutzer auf eine Petition bei Change.org weitergeleitet, die bereits über eine Million Menschen unterzeichnet haben.

Protestware ist umstritten

Bereits die Protestware im NPM-Paket Node-IPC sorgte für hitzige Diskussionen in der Open-Source-Community. Das Paket löschte allerdings Dateien auf Rechnern oder Servern mit einer externen russischen oder belarussischen IP-Adresse. Entwickler kritisierten die Schadfunktion (CVE-2022-23812) als "großen Schaden" für die Glaubwürdigkeit der gesamten Open-Source-Gemeinschaft.

Golem Karrierewelt
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.06.2022, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

Zwar belässt es die Polyfill-Bibliothek bei einer Protestnote und löscht keine Dateien, für Streit sorgte die Funktion dennoch. "Für einige ist das Malware, während es für etliche Menschen in Russland wertvolle Informationen sein könnten, etwas Hilfreiches", schreibt eine Person auf Hackernews. Manche sprechen von Sabotage des Projektes.

"Sabotage bedeutet für mich ausdrücklich, dass die Handlung in der Absicht begangen wurde, den ursprünglichen Zweck des Projekts zu vereiteln. Diese Handlung scheint im Widerspruch zur ursprünglichen Absicht des Projekts zu stehen, also ist sie hinterhältig, aber nicht wirklich Sabotage", schreibt eine Person im gleichen Thread. Auch auf Github werden entsprechende Diskussionen geführt.

Hinzugefügt wurde die Änderung der Version 1.0.26, die weiterhin auf NPM und Github herunterzuladen ist. Ob russische Nutzer die Botschaft tatsächlich zu sehen bekamen, ist nicht bekannt. Als Vorsichtsmaßnahme haben manche Projekte die event-source-polyfill-Version auf 1.0.25 gepinnt, welche die Protestware nicht enthält.

Alle aktuellen Golem.de-Artikel und weitere News zum Ukraine-Krieg finden sich in unserem Liveblog.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


theshark91 13. Apr 2022 / Themenstart

Zumal npm schon seit Jahren per default eine package-lock.json anlegt. Man muss die schon...

V4lt05 13. Apr 2022 / Themenstart

Würde auch mit Maven funktionieren.... Aber JavaScript Zeug bietet sich durch Nähe zum...

Kommentieren



Aktuell auf der Startseite von Golem.de
Liberty Lifter
US-Militär lässt ein eigenes Ekranoplan entwickeln

In den 1960er Jahren schockten die Sowjets den Westen mit dem Kaspischen Seemonster. Die Darpa will ein eigenes, besseres Bodeneffektfahrzeug bauen.

Liberty Lifter: US-Militär lässt ein eigenes Ekranoplan entwickeln
Artikel
  1. Abo: Spielebranche streitet über Game Pass
    Abo
    Spielebranche streitet über Game Pass

    Nach Kritik von Sony gibt es mehr Stimmen aus der Spielebranche, die Game Pass problematisch finden - aber auch klares Lob für das Abo.

  2. Microsoft: Der Android-App-Store für Windows 11 kommt nach Deutschland
    Microsoft
    Der Android-App-Store für Windows 11 kommt nach Deutschland

    Build 2022 Der Microsoft Store soll noch attraktiver werden. So können Kunden ihre Apps künftig ohne lange Wartezeiten direkt veröffentlichen.

  3. Dev Box: Die schnelle und einfache Entwicklungmaschine aus der Cloud
    Dev Box
    Die schnelle und einfache Entwicklungmaschine aus der Cloud

    Build 2022Das Einrichten einzelner Rechner zur Entwicklung kann viel Aufwand machen. Mit der Dev Box aus der Cloud will Microsoft das vereinfachen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • Samsung SSD 1TB 79€ • LG OLED TV 77" 56% günstiger: 1.099€ • Alternate (u. a. Cooler Master Curved Gaming-Monitor 34" UWQHD 144 Hz 459€) • Sony-Fernseher bis zu 47% günstiger • Cyber Week: Alle Deals freigeschaltet • Samsung schenkt 19% MwSt.[Werbung]
    •  /