受俄烏衝突影響,俄羅斯 Sber 銀行建議其客戶暫時停止安裝任何應用程序的軟件更新,因為擔心這些軟件可能包含專門針對俄羅斯用戶的惡意代碼,被一些人稱為“抗議軟件”(protestware)。
Sber 的公告寫道:“目前,挑釁性媒體內容被引入免費分發的軟件的情況已經變得更加頻繁。此外,各種內容和惡意代碼可以被嵌入到用於軟件開發的免費分發的庫中。使用此類軟件可能導致個人和企業計算機以及IT基礎設施感染惡意軟件”。
在迫切需要使用該軟件的情況下,Sber建議客戶用殺毒軟件掃描文件或對源代碼進行人工審查–這個建議對大多數用戶來說可能不切實際,甚至不可能。雖然公告的內容很籠統,但很可能是指 3 月早些時候發生的事件,當時一個廣泛使用的 JavaScript 庫的開發者添加了一個更新,覆蓋了位於俄羅斯或白俄羅斯機器上的文件。據稱,該更新是為了抗議戰爭而實施的,它引起了開源社區許多人的警覺,擔心它會破壞對開源軟件整體安全性的信心。
該更新是在一個名為node-ipc的JavaScript模塊中進行的,根據NPM軟件包管理器的數據,該模塊每周被下載約100萬次,並被流行的前端開發框架Vue.js用作依賴。
據The Register報道,3月7日和3月8日對node-ipc的更新增加了一些代碼,檢查主機的IP地址是否位於俄羅斯或白俄羅斯,如果是,就用一個心形符號儘可能多地覆蓋文件。該模塊的後期版本取消了覆蓋功能,而是在用戶的桌面上投放了一個文本文件,其中包含一條信息:”戰爭不是答案,不管它有多糟糕”,並附有Matisyahu的一首歌的鏈接。