Open-source na wojnie – popularny pakiet npm sabotuje rosyjskie i białoruskie systemy

W tym miesiącu twórca popularnego pakietu open-source – npm „node-ipc” udostępnił zmienione biblioteki w proteście przeciwko toczącej się wojnie rosyjsko-ukraińskiej. Nowsze wersje zaczęły usuwać dane i nadpisywać pliki na komputerach programistów, a także tworzyły nowe pliki tekstowe z komunikatami nawiązującymi do przerwania wojny.

Ponad tydzień temu (8 marca) deweloper Brandon Nozaki Miller, znany również jako RIAEvangelist, udostępnił pakiety oprogramowania typu open-source o nazwie „peacenotwar” i „oneday -test” zarówno na npm, jak i GitHub. Wygląda na to, że pakiety zostały pierwotnie stworzone przez dewelopera jako środek pokojowego protestu, ponieważ dodają pliki „With-LOVE-FROM-AMERICA.txt” na pulpicie każdego użytkownika instalującego pakiety.

Ten kod służy jako niedestrukcyjny przykład tego, dlaczego kontrolowanie modułów węzłów jest ważne. Służy również jako pokojowy protest przeciwko rosyjskiej agresji, która teraz zagraża światu — wyjaśnia  RIAEvangelist.

kod źródłowy ransomware
foto: Christiaan Colen, CC BY-SA 2.0

Chaos nadszedł niespodziewanie, gdy wybrane wersje npm biblioteki „node-ipc” — również obsługiwanej przez RIAEvangelist, zaczęły uruchamiać destrukcyjną zwartość usuwającą dane przez nadpisywanie plików użytkowników instalujących pakiet. Co ciekawe, szkodliwy kod napisany przez programistę już 7 marca, odczytuje zewnętrzny adres IP systemu i nadpisuje wyłącznie pliki użytkowników z Rosji i Białorusi.

Badacze z firmy Snyk zajmującej się bezpieczeństwem open-source śledzili i analizowali szkodliwą aktywność:

W tym momencie dojdzie do bardzo wyraźnego nadużycia i krytycznego incydentu związanego z bezpieczeństwem dla każdego systemu, w którym ten pakiet NPM zostanie wywołany, jeśli odpowiada on geolokalizacji Rosji lub Białorusi – pisze Liran Tal, dyrektor rzecznictwa programistów w firmie Snyk w poście na blogu .

Społeczność open-source krytykuje takie działania

Ruch RIAEvangelist, który utrzymuje ponad 40 pakietów na npm, wywołał ostrą krytykę za wyjście poza „pokojowy protest” i umieszczenie destrukcyjnych elementów w popularnej bibliotece bez żadnego ostrzeżenia dla uczciwych użytkowników.

Nawet jeśli rozmyślny i niebezpieczny czyn RIAEvangelist będzie przez niektórych postrzegany jako uzasadniony akt protestu, to jak to się odbije na przyszłej reputacji społeczności programistów? – pyta Tal.

Deweloperzy powinni zachować daleko posuniętą ostrożność używając „node-ipc” w swoich aplikacjach. Nie ma przecież pewności, że przyszłe wersje tej lub jakiejkolwiek biblioteki wydawanej przez RIAEvangelist, będą bezpieczne.

Źródło: BleepingComputer

0 0 votes
Article Rating
Powiadomienia
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x