» »

V node-ipc podtaknjena koda za brisanje datotek v Rusiji in Belorusiji

V node-ipc podtaknjena koda za brisanje datotek v Rusiji in Belorusiji

Slo-Tech - Razvijalec priljubljenega npm paketa node-ipc, ki tedensko beleži več kot milijon prenosov in ga uporabljajo številne knjižnice, denimo Vue.js CLI, je namenoma izdal pokvarjeno in zlonamerno verzijo paketa. Verziji 10.1.1 in 10.1.2 sta imeli vgrajeno funkcionalnost, ki je uporabnikom z naslovom IP z območja Rusije ali Belorusije pobrisala podatke z diska. Po besedah razvijalca je šlo za način mirnega protesta proti vojni, odprtokodna skupnost pa potezo obsoja.

Incident se je zgodil pred dvema tednoma, ko je izšla nova verzija node-ipc. Ta je preverila, ali je računalnik v Belorusiji ali Rusiji in v tem primeru zagnala zlonamerno kodo. Da bi funkcionalnost prikril, je razvijalec Brandon Nozaki Miller del kode zapisal v formatu base-64. Uporabniki Vue.js so brisanje datotek opazili ta teden.

Takšno ravnanje je nedopustno, hkrati pa kaže na globlji problem. Odvisne knjižnice, kot je paketek node-ipc, se pojavljajo v številnih programskih kodah. Na ta način je programiranje res lažje in preglednejše, a to odpira vrata za tovrstne napade (supply-chain attack), ko se ranljivosti širijo po verigi.

Nozaki Miller je že 8. marca objavil npm paket peacenotwar, ki pa ga ni prenesel praktično nihče. Ko pa je 15. novembra v node-ipc dodal peacenotwar kot odvisno knjižnico (dependency), je stekel peklenski načrt. To sicer ni edini tovrstni protest, zato so strokovnjaki že začeli sestavljati sezname kode, ki kakorkoli izpostavljajo vojno v Ukrajini. Prizadetih je več kot 20 paketov.

79 komentarjev

«
1
2

Reycis ::

Kakšna neumnost. Še posebej, ker smo mi mnogo mnogo bolj občutljivi na tovrstne napade kot oni. Pravičniki si sami sebi jamo kopljejo.
Diversity is our greatest strength

Timurlenk ::

enmu belorusu sem uspel zbrisat seminarsko in porniče s kompa

TIHI PROTEST
Demokracija je zdej v drugem planu, to je vendar jasno.

Phantomeye ::

pac tole ni okej. kvari zaupanje v odprto kodo...

kot da bi se vojaki oblekli v oblačila rdečega križa in izvajali zasede.

Also, kaj če uporabljaš VPN in si nastaviš ruskega, ti pobriše vse?

Zgodovina sprememb…

opeter ::

Sorči, ampak tole pa ne podpiram. Pa kam gremo? ;((
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

svecka ::

Teli justice warriorji so katastrofa brez primere. Sami fašistični hitlerji na vzponu, kjer čim se rodiš napačne države (Rusija, Belorusija), že moraš biti kaznovan, ne da bi se sploh zavedal svojega obstoja (nedonošenček). Isto delajo koz z Judi med 2 sv. vojno. Pa seveda dvoličneži, ko pa je ZDA napadla druge države, pa so lepo tiho.

OK.d ::

Phantomeye je izjavil:

pac tole ni okej. kvari zaupanje v odprto kodo...

kot da bi se vojaki oblekli v oblačila rdečega križa in izvajali zasede.

Also, kaj če uporabljaš VPN in si nastaviš ruskega, ti pobriše vse?

To že delajo, vojna v vsej svoji lepoti se seli tudi na to področje.
LPOK.d

kixs ::

Phantomeye je izjavil:

pac tole ni okej. kvari zaupanje v odprto kodo...

kot da bi se vojaki oblekli v oblačila rdečega križa in izvajali zasede.

Also, kaj če uporabljaš VPN in si nastaviš ruskega, ti pobriše vse?


Probaj ;)

slitkx ::

Treba ga je zabrisat v zapor, brez sojenja.

BBB ::

Rusom in Belorusom je dal dobro idejo za prispevanje v odprto kodo.

mtosev ::

OK tole pa je prav bolano kar je naredil.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

mr_chai ::

Sj so ga doxxal

CyberPunk ::

To je šlo že čez vse meje zdravega razuma. Tako kot kovidizem.

FireSnake ::

Mi pa nimamo freelancerjev v Rusiji in Belorusiji, ane?
Tole je šlo cezt vse meje zdravega okusa.
Pandorina skrinjica je odprta: še odprti kodi ne gre več zaupati.
Poglej in se nasmej: vicmaher.si

mr_chai ::

FireSnake je izjavil:

Mi pa nimamo freelancerjev v Rusiji in Belorusiji, ane?
Tole je šlo cezt vse meje zdravega okusa.
Pandorina skrinjica je odprta: še odprti kodi ne gre več zaupati.


Saj nobeni kodi ne morš zaupati. En bedn node app ti dol povleče gazillion trillion drugih knjižnic. Kako boš vsemu temu zaupal?

LeQuack ::

Phantomeye je izjavil:

pac tole ni okej. kvari zaupanje v odprto kodo...



Zaupanje v odprto kodo pls. Večina ljudi samo hoče nekaj zastonj, odprto ali zaprto. Če ne bi bila koda odprta sploh vedel ne bi za ta ekploit, npr. če bi Microsoft dal tak updejt ven za Windows.
Quack !

MrStein ::

Ja, ker se samo odprto kodni malware odkrije, zaprtokodni pa nikoli.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Aggressor ::

Kar je napravil, je obsojanja vredno.

Mu pa ob vseh fotkah zmrcvarjenih otrok, ki prihajajo iz Ukrajine, težko zamerim. Se ti od občutkov nemoči hitro strga in nekateri skušajo "ukrepat" na take načine.
en CRISPR na dan odžene zdravnika stran

eventyrer ::

Aggressor je izjavil:

Kar je napravil, je obsojanja vredno.

Mu pa ob vseh fotkah zmrcvarjenih otrok, ki prihajajo iz Ukrajine, težko zamerim. Se ti od občutkov nemoči hitro strga in nekateri skušajo "ukrepat" na take načine.


Na nacine ki kriticno unicijo zaupanje?

Kar je storil na lastno pest je hudo nespametno tako za odprtokodni svet kot za njegovo kariero.

Zgodovina sprememb…

tetriandoch ::

Aggressor je izjavil:

Kar je napravil, je obsojanja vredno.

Mu pa ob vseh fotkah zmrcvarjenih otrok, ki prihajajo iz Ukrajine, težko zamerim. Se ti od občutkov nemoči hitro strga in nekateri skušajo "ukrepat" na take načine.


In kako veš, da so fotografije iz Ukrajine? Potem bi moral državljanom ZDA pobrisati diske že vsaj petkrat.

LeQuack ::

Sicer pa koda je odprta, vsaj naj jo sam pregleda pred uporabo. Če jo ne, je pač sam kriv.
Quack !

mr_chai ::

LeQuack je izjavil:

Sicer pa koda je odprta, vsaj naj jo sam pregleda pred uporabo. Če jo ne, je pač sam kriv.


Ja ? Povej mi katera orodja za zaznavo škodoželjne kode uporabljaš za pregled vseh 3 mio vrstic kode, ki jih uporablja tvoja aplikacija ?

D3m ::

Aggressor je izjavil:

Kar je napravil, je obsojanja vredno.

Mu pa ob vseh fotkah zmrcvarjenih otrok, ki prihajajo iz Ukrajine, težko zamerim. Se ti od občutkov nemoči hitro strga in nekateri skušajo "ukrepat" na take načine.


Se ne spomnim, da bi Neil Armstronga banali zaradi invazije na Irak.
|HP EliteBook|R5 6650U|

Tidule ::

Whataboutizem much?

D3m ::

Owwww right whataboutizem je ameriška pogruntavščina.

A je še kakšen bolj starejši rek?
|HP EliteBook|R5 6650U|

Zgodovina sprememb…

  • spremenil: D3m ()

poweroff ::

Zabavno bo, ko bo naslednji tak gorečnež v kodo vstavil backdoor, ki bo zaradi Faludže pobrisal ameriške računalnike...
sudo poweroff

mr_chai ::

poweroff je izjavil:

Zabavno bo, ko bo naslednji tak gorečnež v kodo vstavil backdoor, ki bo zaradi Faludže pobrisal ameriške računalnike...


https://news.ycombinator.com/item?id=30...

dexterboy ::

Čisti kretenizem, dvoličnost in nedoraslost, kar je šel delati. Če ga vest peče in mu krvavi srce, bi lahko oblekel uniformo in šel na fronto, a na to ni pomisli, ali pa nima jajc in se skriva za tipkovnico?
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

BBB ::

D3m je izjavil:

Owwww right whataboutizem je ameriška pogruntavščina.

A je še kakšen bolj starejši rek?

Klin se s klinom izbija.

Ko boš naslednjič v kurbenhausu srečal svojega šefa in te bo vprašal: "kaj pa ti tukaj delaš?" Mu preprosto odvrni: "kaj pa ti tukaj delaš?"

Ko te nekdo pretepa, se ne prepusti njegovi whataboutistični manipulaciji, češ da ne menjaj teme dejanja. Bodi whataboutist in mu vrni.

Oberyn ::

Aggressor je izjavil:

Mu pa ob vseh fotkah zmrcvarjenih otrok, ki prihajajo iz Ukrajine, težko zamerim. Se ti od občutkov nemoči hitro strga in nekateri skušajo "ukrepat" na take načine.

Fotke zmrcvarjenih otrok prihajajo z vseh bojišč po svetu in konkurenca je kar huda. Če bi se od takih slik vsakemu zaradi občutkov nemoči strgalo, bi od sveta bolj malo ostalo. Zaradi takega masovnega napada na informacijske sisteme kriminalci fašejo po 20 in več let zapora. Upam, da ga tudi ta samooklicani šerif faše v enaki meri.

MrStein ::

Edino pravilno.

Je tudi v kaki bolnici onesposobil sisteme?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

mr_chai je izjavil:

LeQuack je izjavil:

Sicer pa koda je odprta, vsaj naj jo sam pregleda pred uporabo. Če jo ne, je pač sam kriv.


Ja ? Povej mi katera orodja za zaznavo škodoželjne kode uporabljaš za pregled vseh 3 mio vrstic kode, ki jih uporablja tvoja aplikacija ?

Verjetno naslednja :
SuperEgo v1.6
TrollWorks v2.5
TiSiNeumen 0.8beta

Sicer je pred leti bila sorodna novica :
avtor je v aplikacijo vključil zlobno kodo, ki se je aktivirala če je aplikacija menila da uporabnik nima pravilne licence za to aplikacijo
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

joebiden ::

Zadnjič sem bral da so eni sami sebi pobrisali celo bazo podatkov kamor se je prijavljalo Ruske vojne zločine. Morda so bili ravno ti?

srus ::

Odkar je ameriški Linux foundation prevzel nadzor nad Linuxom ne zaupam ničemur več.

FireSnake ::

joebiden je izjavil:

Zadnjič sem bral da so eni sami sebi pobrisali celo bazo podatkov kamor se je prijavljalo Ruske vojne zločine. Morda so bili ravno ti?


Vir?
Poglej in se nasmej: vicmaher.si

Rias Gremory ::

srus je izjavil:

Odkar je ameriški Linux foundation prevzel nadzor nad Linuxom ne zaupam ničemur več.

Sicer tvoj komentar nima veliko veze, razen da je Linux jedro odprto-kodni projekt. Vseeno me zanima kaj točno misliš z "prevzel nadzor nad Linuxom"? Lahko mi odgovoriš na ZS.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

sbawe64 ::

Tip si je dobesedno narisal online tarčo na hrbet.
155M Ru/By ter njihovih prijateljev & simpatizerjev po svetu bo poskrbelo, da bo wannabe sjw pravičnik dobil svojo dozo karme nazaj.
2020 is new 1984
Corona World order

Evolve ::

fantki moji dragi.. njegov paket, njegova pravila, njegova koda..

lahko počne z njo lihk kar hoče.. če nočete tega, forkatje po svoje

eni na polno zagovarjate open soruce ... pol pa jokajte :D ste hecni eni

podpiram!

Rias Gremory ::

Evolve je izjavil:

...njegova pravila...

Mja, recimo, če bi on gostoval kodo in jo širil po svoje. Tako je pa kršil Github in npm pravila uporabe.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Avenger ::

A bi bilo potem OK it v Moskvo in ponoči luknjat avtomobilske gume? Kot oblika mirnega protesta. Pa hodit po blokih in folku pred vrati pustit kupček dreka? Odlično. Putin bo videl kaj delajo njegovemu ljudstvu in bo nemudoma ukazal umik. Fak ej, dejte si uno ukrajinsko zastavo za profilno sliko, obeste jo z balkona, pa na avto jo dejte, nedolžnim ljudem pa dejte mir tudi Rusom. Ampak ne, mali hitlerček je začutil da ima moč in se je hahljal ob svojem peklenskem načrtu... strelov v kolena popolnoma naključnih ljudi na ozemlju Rusije. Če se komu to ne zdi 100%, ne samo 99%, točno 100% nesprejemljivo, je bolan.
It is better to be hated for what you are than to be loved for something you are not.

D3m ::

Avenger.....assemble.

:))
|HP EliteBook|R5 6650U|

LeQuack ::

99% ljudi itak uporablja samo brskalnik in socialna omrežja, tako da če jim virus pobriše podatke morajo samo še enrkat brkalnik naložit, big deal.
Quack !

Zimonem ::

Npm je že dolgo nevaren. Ni ne prvič ne zadnjič.

Aggressor ::

eventyrer je izjavil:

Aggressor je izjavil:

Kar je napravil, je obsojanja vredno.

Mu pa ob vseh fotkah zmrcvarjenih otrok, ki prihajajo iz Ukrajine, težko zamerim. Se ti od občutkov nemoči hitro strga in nekateri skušajo "ukrepat" na take načine.


Na nacine ki kriticno unicijo zaupanje?

Kar je storil na lastno pest je hudo nespametno tako za odprtokodni svet kot za njegovo kariero.


Da ne bo nesporazuma - nisem ga opravičeval. Upam, da ga eventuelno zašijejo. Se mi pa zdi logično, da v takšnih razmerah vidimo takšne dogodke.
en CRISPR na dan odžene zdravnika stran

Phantomeye ::

LeQuack je izjavil:

Phantomeye je izjavil:

pac tole ni okej. kvari zaupanje v odprto kodo...



Zaupanje v odprto kodo pls. Večina ljudi samo hoče nekaj zastonj, odprto ali zaprto. Če ne bi bila koda odprta sploh vedel ne bi za ta ekploit, npr. če bi Microsoft dal tak updejt ven za Windows.



Odprta koda v smislu, da si sposodiš nekaj od skupnosti in nekaj vrneš skupnosti. In, da to narediš ljudem, ki dajejo v skupnost, je en velik fuck you.

Bela_Krajina ::

Aggressor je izjavil:

eventyrer je izjavil:

Aggressor je izjavil:

Kar je napravil, je obsojanja vredno.

Mu pa ob vseh fotkah zmrcvarjenih otrok, ki prihajajo iz Ukrajine, težko zamerim. Se ti od občutkov nemoči hitro strga in nekateri skušajo "ukrepat" na take načine.


Na nacine ki kriticno unicijo zaupanje?

Kar je storil na lastno pest je hudo nespametno tako za odprtokodni svet kot za njegovo kariero.


Da ne bo nesporazuma - nisem ga opravičeval. Upam, da ga eventuelno zašijejo. Se mi pa zdi logično, da v takšnih razmerah vidimo takšne dogodke.

Ali je v Sloveniji dovoljeno, ce ti kdo brska po racunalniku brez dovoljenja?

mr_chai ::

c3p0 ::

Evolve je izjavil:

fantki moji dragi.. njegov paket, njegova pravila, njegova koda..

lahko počne z njo lihk kar hoče.. če nočete tega, forkatje po svoje


Trollaš, a vendar, to ne drži in lahko kazensko odgovarja.

Tidule ::

Seveda lahko kazensko odgovarja. Predvsem v Rusiji in Belorusiji.

poweroff ::

Če bi bilo vse "po pravilih", bi ga kaznovali tudi tukaj. Že zaradi "povzročitve splošne kibernetske nevarnosti", oziroma distribucije in posesti napadalskih orodij (da bo pravno bolj stalo).
sudo poweroff
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Zaposlitev - osebna spletna stran?

Oddelek: Loža
213575 (2145) Boomerang
»

Najbolj priljubljeni in osovraženi programski jeziki (strani: 1 2 )

Oddelek: Novice / Ostale najave
6924143 (19061) Kenpachi
»

Firefox 54 prinaša podporo več procesom

Oddelek: Novice / Brskalniki
4010211 (7232) WarpedGone
»

Slo-Tech napovednik: To so brezplačni dogodki tega tedna 22. - 28. maj

Oddelek: Novice / Kriptovalute
137958 (6801) estons
»

cross platform development

Oddelek: Programiranje
367286 (6272) slodreamer

Več podobnih tem