Есть прекрасный скрипт для показа всплывающих окон, под названием SweetAlert2 . С недавних пор, как оказалось — это не только красивые всплывающие окна, но и помощник в антивоенной пропаганде.

На днях на разных сайтах стали всплывать непонятные баннеры вида:


 

 

Или вот такое содержание:

Естественно, увидеть такое на своём сайте, или уж тем более на сайте заказчика, для многих будет шоком, так как подобный контент на сайте не размещался, и в исходниках кода нет ничего подобного.
 

 

Откуда такое берётся ?

 

Источник нашёлся — ребята решили проявить свою позицию и добавили в гитхаб изменение, которое для российских пользователей вместе со всплывающим окном отображает ссылку на материалы направленные против войны.

Естественно все, у кого скрипт был подключен через CDN ( https://cdn.jsdelivr.net/npm/sweetalert2@11 ) , стали разом соучастниками агитации против военной спецоперации.

 

Как считаете, это вообще нормально?! Сегодня инъекция агиток, завтра начнут подсовывать SCAM-код и майнеры?

 

P.S. если кто-то использует скрипт, то придётся скачать его к себе и убрать выделенный код:


 

Ссылка на commit:
https://github.com/sweetalert2/sweetalert2/commit/64825e44f7a67e3a8b43d0b37ad665cc7fd4f78f

 

 

Интересно и то, что если перейти по CDN ссылке, которая теоритически может быть у вас подключена в коде сайта, то можно увидеть следующее:


 

На сайте https://www.jsdelivr.com - который неожиданно принадлежит компании Google есть фавикон подозрительно похожий на логотип Angular.

 

Не хочется строить теории, но очевидно, что придётся пересмотреть все скрипты, которые вы так или иначе подключили на ваш сайт на прямую.
То есть придётся по старинке скачать все жизненно необходимые файлы к вам на сайт и ожидать светлого будущего.

 


Те кто использует пакетный менеджер NPM советуем перейти на YARN, так как он до сих пор считается самым быстрым и безопасным.

 

Более того есть сервис Snyk который проверяет библиотеки на надёжность и безопасность, так что придётся перед скачиванием и установкой проверять (даже старые и проверенные временем пакеты) ещё и на уязвимости и вирусы, тем более что уже были случаи, когда пакетный менеджер NPM благополучно внедрял вредоносный код или вирус прямо в проект.

 

Выдаёт себя SweetAlert2 ещё и своими стилями, которые скорее всего тоже подключены на прямую по CDN с другого сайта, как это видно в инспекторе кода для разработчиков:


 

 

Будьте внимательны и осторожны, проверяйте всё что устанавливаете и скачиваете, даже если разрабатываете проект на Angular или React.js
Подписывайтесь на наши новости и будьте первыми в курсе IT новостей.
 

Успехов вам! И качественного кодинга :)

Поделиться:
Post Makstum
14 ноября 2022 в 01:34