Open-source na wojnie – popularny pakiet npm sabotuje rosyjskie i białoruskie systemy
W tym miesiącu twórca popularnego pakietu open-source – npm „node-ipc” udostępnił zmienione biblioteki w proteście przeciwko toczącej się wojnie rosyjsko-ukraińskiej. Nowsze wersje zaczęły usuwać dane i nadpisywać pliki na komputerach programistów, a także tworzyły nowe pliki tekstowe z komunikatami nawiązującymi do przerwania wojny.
Ponad tydzień temu (8 marca) deweloper Brandon Nozaki Miller, znany również jako RIAEvangelist, udostępnił pakiety oprogramowania typu open-source o nazwie „peacenotwar” i „oneday -test” zarówno na npm, jak i GitHub. Wygląda na to, że pakiety zostały pierwotnie stworzone przez dewelopera jako środek pokojowego protestu, ponieważ dodają pliki „With-LOVE-FROM-AMERICA.txt” na pulpicie każdego użytkownika instalującego pakiety.
Ten kod służy jako niedestrukcyjny przykład tego, dlaczego kontrolowanie modułów węzłów jest ważne. Służy również jako pokojowy protest przeciwko rosyjskiej agresji, która teraz zagraża światu — wyjaśnia RIAEvangelist.
Chaos nadszedł niespodziewanie, gdy wybrane wersje npm biblioteki „node-ipc” — również obsługiwanej przez RIAEvangelist, zaczęły uruchamiać destrukcyjną zwartość usuwającą dane przez nadpisywanie plików użytkowników instalujących pakiet. Co ciekawe, szkodliwy kod napisany przez programistę już 7 marca, odczytuje zewnętrzny adres IP systemu i nadpisuje wyłącznie pliki użytkowników z Rosji i Białorusi.
Badacze z firmy Snyk zajmującej się bezpieczeństwem open-source śledzili i analizowali szkodliwą aktywność:
W tym momencie dojdzie do bardzo wyraźnego nadużycia i krytycznego incydentu związanego z bezpieczeństwem dla każdego systemu, w którym ten pakiet NPM zostanie wywołany, jeśli odpowiada on geolokalizacji Rosji lub Białorusi – pisze Liran Tal, dyrektor rzecznictwa programistów w firmie Snyk w poście na blogu .
Społeczność open-source krytykuje takie działania
Ruch RIAEvangelist, który utrzymuje ponad 40 pakietów na npm, wywołał ostrą krytykę za wyjście poza „pokojowy protest” i umieszczenie destrukcyjnych elementów w popularnej bibliotece bez żadnego ostrzeżenia dla uczciwych użytkowników.
Nawet jeśli rozmyślny i niebezpieczny czyn RIAEvangelist będzie przez niektórych postrzegany jako uzasadniony akt protestu, to jak to się odbije na przyszłej reputacji społeczności programistów? – pyta Tal.
Deweloperzy powinni zachować daleko posuniętą ostrożność używając „node-ipc” w swoich aplikacjach. Nie ma przecież pewności, że przyszłe wersje tej lub jakiejkolwiek biblioteki wydawanej przez RIAEvangelist, będą bezpieczne.
Źródło: BleepingComputer
Miłośnik nowoczesnych technologii, głównie nowych rozwiązań IT. Redaktor w czasopismach Gambler, Enter, PC Kurier, Telecom Forum, Secret Service, Click!, Komputer Świat Gry, Play, GameRanking. Wiele lat spędził w branży tłumaczeniowej – głównie gier i programów użytkowych. W wolnych chwilach lata szybowcem, jeździ na rowerze i pochłania duże ilości książek.
