Un programador detrás del popular programa npm de código abierto node-ipc lo envenenó con malware que borraba los discos duros de las computadoras ubicadas en Rusia o Bielorrusia.
Comenzó como una protesta inocente. Npm , el mantenedor del administrador de paquetes de JavaScript RIAEvangelist, Brandon Nozaki Miller, escribió y publicó un paquete de código fuente de npm de código abierto llamado Peacenotwar . Hizo poco más que añadir un mensaje de protesta contra la invasión rusa de Ucrania. Pero luego, tomó un giro más oscuro: comenzó a destruir los sistemas de archivos de las computadoras.
Para ser exactos, Miller agregó un código que eliminaría el sistema de archivos de cualquier computadora con una dirección IP rusa o bielorrusa. Luego, su mantenedor agregó el módulo como una dependencia al extremadamente popular modo node-ipc. Node-ipc, a su vez, es una dependencia popular que utilizan muchos programadores de JavaScript. Y pasó de molesto a destructor del sistema.
El código ha sufrido varios cambios desde que apareció por primera vez, pero debe considerarse muy peligroso. Al subrayar su potencial de daño, Miller codificó sus cambios de código en base 64 para que sea más difícil detectar el problema simplemente leyendo el código.Según la empresa de seguridad para desarrolladores Snyk , que descubrió el problema, "node-ipc (versiones >=10.1.1 <10.1.3) es un paquete malicioso. Este paquete contiene código malicioso que se dirige a usuarios con IP ubicada en Rusia o Bielorrusia, y sobrescribe sus archivos con un emoji de corazón". Ahora se está rastreando como CVE-2022-23812 . Synk le otorga a este paquete corrupto de fuente abierta una calificación crítica del Sistema de puntuación de vulnerabilidad común (CVSS) de 9.8, crítico.En otras palabras, simplemente no deberías usarlo en absoluto. Período.
Es más fácil decirlo que hacerlo. Node-ipc está presente en muchos programas. Este módulo nodejs se utiliza para comunicación entre procesos (IPC) local y remota en sistemas Linux, Mac y Windows. También se usa en el muy popular vue-cli , un marco de Javascript para crear interfaces de usuario basadas en la web. A partir de ahí, este malware destruyó una gran cantidad de sistemas.
Liran Tal, el investigador de Snyk que descubrió el problema, dijo: "Aunque algunos perciban el acto deliberado y peligroso del mantenedor RIAEvangelist como un acto legítimo de protesta, ¿cómo se refleja eso en la reputación futura del mantenedor y su participación en la comunidad de desarrolladores? ?" ¿Se volvería a confiar en este mantenedor para que no haga un seguimiento de actos futuros en acciones tan agresivas o incluso más agresivas para cualquier proyecto en el que participe?"El propio Miller defendió su módulo de paz, no de guerra en GitHub, diciendo: " Todo esto es público, documentado, con licencia y de código abierto " .
Pero, ¿y si alguien hiciera esto y no dejara tal mensaje? Y, si dejar que los usuarios tomen una decisión informada importaba, ¿por qué se oscureció el código peligroso?
En cualquier caso, como todos sabemos, la gente es pésima leyendo documentación. Además, como investigador sénior de amenazas de Sophos . Sean Gallagher, tuiteó, cualquiera que acaba de agregar código de cualquier manera a sus sistemas de producción está buscando problemas. "Si está parcheando dependencias en vivo para las que no tiene controles de control de calidad, no está haciendo SecOps en absoluto " .
Pero dicho todo esto, este "protestware" sienta un precedente peligroso. Como escribió un programador en GitHub: "Lo que sucederá con esto es que los equipos de seguridad de las corporaciones occidentales que no tienen absolutamente nada que ver con Rusia o la política comenzarán a ver el software libre y de código abierto como una vía para los ataques a la cadena de suministro ( lo cual es totalmente) y simplemente comenzar a prohibir el software libre y de código abierto, todo el software libre y de código abierto, dentro de sus empresas. O al menos todo el que es mantenido por la comunidad. Esto no tendrá ningún efecto positivo para los ucranianos, idiota, y solo perjudicará la adopción de FOSS [software libre y de código abierto]". Exacto así.
Mientras tanto, en la forma habitual del código abierto de solucionar sus propios problemas, otro desarrollador, Tyler S. Resch, MidSpike, ha iniciado un esfuerzo para construir una bifurcación segura de nodo-ipc en GitHub .
Fuente: zdnet | somoslibres
