Не забыли log4shell? Надеюсь, что нет. Потому что теперь опять надо проверять все зависимости в ваших проектах.

Опенсосеры начали пушить в свои проекты реально вредоносный код для пользователей из России и Беларуси: https://github.com/RIAEvangelist/node-ipc/issues/233
^^ Вот эта ёба в том числе затронула vue-cli: https://github.com/vuejs/vue-cli/issues/7054

или вот еще более ранний пример: https://github.com/arendst/Tasmota/commit/98cbf2587a1a914bbd16996ebb48dd451d3da448

Отвратительно. Абсолютно омерзительно и подло. Я конечно всё понимаю, но давайте держать софт вне политики. Это настоящий кибертерроризм, теперь все будут с опаской глядеть на любой пакет в зависимостях, доверие к опенсурс сообществу подорвано...

Тут ребята ведут список "испорченного опенсорса", где описаны пока что известные случаи пуша вредоносного кода для пользователей из РФ и Беларуси. Original post тут.

Вредоносный код уже был замечен в таких проектах как Composer, PHPUnit, Vue CLI, AWS Terraform Modules, CircleCI, плагинах Wordpress. В общем, список довольно внушительный и он растет.

Самое грустное, что это затрагивает людей, которые сочувствуют украинцам. Теперь даже не понятно, к чему это приведет - нулевое доверие к opensource сообществу, окукливание российских разработчиков/разработок, взаимная ненависть между разработчиками? Вариантов много, продолжаем наблюдать.

P.S. Говорят недавные проблемы в Wildberries (инфра умерла от шифровальщика) связаны как раз с ПО из списка.

what the ...