Un logiciel open source corrompu entre sur le champ de bataille russe

Cela a commencé comme une protestation innocente. NpmBrandon Nozaki Miller, mainteneur du gestionnaire de paquets JavaScript RIAevangelist, a écrit et publié un paquet de code source npm open-code appelé peacenotwar. Il n’a guère fait qu’ajouter un message de protestation contre l’invasion de l’Ukraine par la Russie. Mais ensuite, cela a pris une tournure plus sombre : il a commencé à détruire les systèmes de fichiers des ordinateurs.

Pour être exact, Miller a ajouté du code qui supprimer le système de fichiers de tout ordinateur avec une adresse IP russe ou biélorusse. Ensuite, son mainteneur a ajouté le module en tant que dépendance au mode node-ipc extrêmement populaire. Node-ipc, à son tour, est une dépendance populaire que de nombreux programmeurs JavaScript utilisent. Et il est passé d’agaçant à destructeur de système.

Le code a subi plusieurs modifications depuis sa première apparition, mais il doit être considéré comme très dangereux. Soulignant son potentiel de dommages, Miller a encodé ses changements de code en base 64 pour rendre plus difficile la détection du problème en lisant simplement le code.

Selon la société de sécurité des développeurs Snykqui a découvert le problème, node-ipc (versions >=10.1.1 <10.1.3) est un paquet malveillant. Ce paquet contient un code malveillant qui cible les utilisateurs dont l’adresse IP est située en Russie ou en Biélorussie, et écrase leurs fichiers avec un emoji en forme de cœur.” Il est maintenant suivi comme CVE-2022-23812. Synk attribue à ce paquet open-was capable de source corrompu une note CVSS (Common Vulnerability Scoring System) critique de 9,8, critique.

En d’autres termes, vous ne devriez tout simplement pas l’utiliser du tout. Point final.

C’est plus facile à dire qu’à faire. Node-ipc est présent dans de nombreux programmes. Ce module nodejs est utilisé pour la communication interprocessus locale et distante (IPC) sur les systèmes Linux, Mac et Windows. Il est également utilisé dans le très populaire vue-cli, un framework Javascript pour la création d’interfaces utilisateur basées sur le Web. À partir de là, ce logiciel malveillant a détruit un grand nombre de systèmes.

Liran Tal, le chercheur de Snyk qui a découvert le problème, a déclaré : “Même si l’acte délibéré et dangereux du mainteneur RIAEvangelist sera perçu par certains comme un acte de protestation légitime, comment cela se répercutera-t-il sur la réputation future du mainteneur et sur son enjeu dans la communauté des développeurs ? ?” Est-ce que l’on ferait à nouveau confiance à ce mainteneur pour qu’il ne donne pas suite à de futurs actes dans de telles actions ou même des actions plus agressives pour tous les projets auxquels il participe ?”

Miller lui-même a défendu son module peacenotwar sur GitHub en disant “Tout cela est public, documenté, sous licence et open source.

Mais, que se passerait-il si quelqu’un faisait cela et ne laissait pas un tel message ? Et, s’il était important de laisser les utilisateurs prendre une décision éclairée, pourquoi le code dangereux était-il obscurci ?

En tout cas, comme nous le savons tous, les gens sont nuls pour lire la documentation. D’ailleurs, comme Sophos Chercheur principal sur les menaces. Sean Gallagher, tweeté, quiconque vient d’ajouter du code bon gré mal gré à ses systèmes de production demande des ennuis. “Si vous corrigez en direct des dépendances pour lesquelles vous n’avez aucun contrôle d’assurance qualité, vous ne faites pas du tout de SecOps.

Mais cela dit, ce “protestware” crée un dangereux précédent. Comme l’a écrit un programmeur sur GitHub, “Ce qui va se passer, c’est que les équipes de sécurité des entreprises occidentales qui n’ont absolument rien à voir avec la Russie ou la politique vont commencer à voir Les logiciels libres et open source comme vecteur d’attaques de la chaîne d’approvisionnement (ce qui est totalement le cas) et commencent simplement à interdire les logiciels libres et open source – tous les logiciels libres et open source – au sein de leurs entreprises. Ou du moins tout ce qui est maintenu par la communauté. Cela n’aura aucun effet positif pour les Ukrainiens, idiot, et ne fera que nuire à FOSS [Free and open-source software] l’adoption. » Exactement.

Dans l’intervalle, dans le cadre de la réparation habituelle de l’open source, un autre développeur Tyler S. Resch, MidSpike, a lancé un effort pour créer un fork node-ipc sûr sur GitHub.

Histoires liées :

Leave a Comment