Protestware in NPM-Paket: Antikriegsbotschaft auf Webseiten geschmuggelt

Ein russischer Entwickler hat seinem NPM-Paket eine Protestfunktion gegen den Ukrainekrieg hinzugefügt. In der Open-Source-Community ist die Änderung umstritten.

Artikel veröffentlicht am ,
Ob in diesem Paket auch umstrittene Funktionen stecken?
Ob in diesem Paket auch umstrittene Funktionen stecken? (Bild: Devanath/Pixabay)

Etwa 15 Sekunden nach dem Öffnen der Webseite erscheint eine Nachricht. Sie prangert die "sinnlose Invasion" der Ukraine an und stammt aus einem Update des NPM-Pakets event-source-polyfill, das von etlichen Projekten eingebettet wird. Dies ist damit bereits um die dritte Protestware, die über NPM verteilt wird, und führt zu Diskussionen in der Open-Source-Szene.

Stellenmarkt
  1. IT-Support-Professional
    Universitätsklinikum Frankfurt, Frankfurt am Main
  2. SQL- und Systemadministrator (m/w/d)
    GRIMME Landmaschinenfabrik GmbH & Co. KG, Damme
Detailsuche

Den entsprechenden Code hat der russische Entwickler mit dem Alias Yaffle laut dem Onlinemagazin Bleepingcomputer bereits am 17. März hinzugefügt. Polyfill-Bibliotheken erweitern insbesondere ältere Browser per Javascript um Funktionen, die sie eigentlich nicht unterstützen. Das nun modifizierte event-source-polyfill erweitert Browser um Mozillas Eventsource-API. Das Paket wird von über 135.000 Projekten auf Github verwendet und wöchentlich 600.000-mal von NPM heruntergeladen.

Im Unterschied zu anderer Protestware, die bereits als NPM-Paket verteilt wurde, löscht die Polyfill-Bibliothek keine Daten, sondern zeigt russischen Internetnutzern ein Pop-up an, das gegen den Krieg protestiert und auf den Tor-Browser hinweist, um die Zensur im russischen Internet zu umgehen. Anschließend werden die Nutzer auf eine Petition bei Change.org weitergeleitet, die bereits über eine Million Menschen unterzeichnet haben.

Protestware ist umstritten

Bereits die Protestware im NPM-Paket Node-IPC sorgte für hitzige Diskussionen in der Open-Source-Community. Das Paket löschte allerdings Dateien auf Rechnern oder Servern mit einer externen russischen oder belarussischen IP-Adresse. Entwickler kritisierten die Schadfunktion (CVE-2022-23812) als "großen Schaden" für die Glaubwürdigkeit der gesamten Open-Source-Gemeinschaft.

Golem Karrierewelt
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    13./14.10.2022, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    29.08.-01.09.2022, Virtuell
Weitere IT-Trainings

Zwar belässt es die Polyfill-Bibliothek bei einer Protestnote und löscht keine Dateien, für Streit sorgte die Funktion dennoch. "Für einige ist das Malware, während es für etliche Menschen in Russland wertvolle Informationen sein könnten, etwas Hilfreiches", schreibt eine Person auf Hackernews. Manche sprechen von Sabotage des Projektes.

"Sabotage bedeutet für mich ausdrücklich, dass die Handlung in der Absicht begangen wurde, den ursprünglichen Zweck des Projekts zu vereiteln. Diese Handlung scheint im Widerspruch zur ursprünglichen Absicht des Projekts zu stehen, also ist sie hinterhältig, aber nicht wirklich Sabotage", schreibt eine Person im gleichen Thread. Auch auf Github werden entsprechende Diskussionen geführt.

Hinzugefügt wurde die Änderung der Version 1.0.26, die weiterhin auf NPM und Github herunterzuladen ist. Ob russische Nutzer die Botschaft tatsächlich zu sehen bekamen, ist nicht bekannt. Als Vorsichtsmaßnahme haben manche Projekte die event-source-polyfill-Version auf 1.0.25 gepinnt, welche die Protestware nicht enthält.

Alle aktuellen Golem.de-Artikel und weitere News zum Ukraine-Krieg finden sich in unserem Liveblog.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Aktuell auf der Startseite von Golem.de
Cryptomator
Endlich ist unsere Cloud Ende-zu-Ende-verschlüsselt

Werkzeugkasten Noch liegen die Daten bei Dropbox, Onedrive oder in der Nextcloud unverschlüsselt - doch mit dem Open-Source-Tool Cryptomator lässt sich das leicht ändern.
Von Moritz Tremmel

Cryptomator: Endlich ist unsere Cloud Ende-zu-Ende-verschlüsselt
Artikel
  1. Jetracer: Liegestuhl fliegt mit 250 km/h
    Jetracer
    Liegestuhl fliegt mit 250 km/h

    Der Jetracer ist eine Art fliegender Stuhl mit mehreren Turbinen, die für den Vortrieb sorgen. Der Einsitzer soll 250 km/h erreichen.

  2. Hase Bikes Lepus E: E-Liegerad mit Anfahrhilfe ohne zu Treten
    Hase Bikes Lepus E
    E-Liegerad mit Anfahrhilfe ohne zu Treten

    Das Elektro-Liegerad Lepus E von Hase Bikes verfügt über eine am Lenker einschaltbare Anfahrhilfe. Bis 6 km/h muss nicht getreten werden.

  3. Kabelnetz: Vodafone setzt neuartige Antennendosen ein
    Kabelnetz
    Vodafone setzt neuartige Antennendosen ein

    Ohne Radioport kommt die neue Antennendose und ist damit schon für DOCSIS 4.0 vorbereitet. Doch sie soll bereits jetzt Vorteile für Vodafone-Kunden bringen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Neuer Saturn-Flyer • MindStar (MSI RTX 3070 599€) • Günstig wie nie: Zotac RTX 3080 12GB 829€, Mac mini 16GB 1.047,26€, Samsung SSD 1TB/2TB (PS5) 111€/199,99€ • PS5 bestellbar • Games für PS5/PS4 bis 84% günstiger • Bester 2.000€-Gaming-PC[Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /