Одного из разработчиков ПО поймали за распространением вредоносной малвари. Программист добавлял в популярный пакет с открытым исходным кодом программу, которая стирала файлы на компьютерах, расположенных в России и Беларуси. Таким образом web-девелопер пытался помочь "жовто-блакитным"
Приложение node-ipc добавляет возможности удаленного межпроцессного взаимодействия и нейронных сетей к другим библиотекам с открытым исходным кодом. В качестве зависимости node-ipc автоматически загружается и включается в другие библиотеки, в том числе такие, как Vue.js CLI, который загружается более 1 миллиона раз в неделю.
Две недели назад автор node-ipc выложил новую версию библиотеки, которая поражала компьютеры с ip-адресами пользователей из России и Беларуси.
В новом релизе была добавлена функция, которая проверяла IP-адреса разработчиков, которые использовали node-ipc в своих проектах. И если IP-адрес был привязан к России или Беларуси, новая версия стирала файлы с машины и заменяла их смайликом в виде сердца.
Автор node-ipc закодировал изменения в base-64, чтобы усложнить задачу пользователям, которые хотели визуально проверить их на наличие проблем.
Однако такая "партизанщина" разозлила многих разработчиков и вызвала у них опасения по поводу безопасности бесплатного программного обеспечения с открытым исходным кодом и его компрометации.
«Как эти преднамеренные и опасные действия отразятся на будущей репутации разработчиков? Можно ли когда-нибудь доверять программистам, создающим и распространяющим свободное ПО? » - Лиран Таль, Snyk
Разработчика, внедрившего зловреда, костерили на форумах и в Twitter.
Tesla напряглась! Автопилот, зараженный психически не уравновешенным программистом, отправляет в столб всех блондинок, ну или брюнеток - смотря кто больше не нравится, не совсем здоровому, web-разработчику
Представили глобальность проблемы? Так это еще цветочки! Снабдить малварью можно любое технологичное оборудование. И военного назначения тоже (хочется надеяться что это не так).
Первый звоночек прозвенел в январе это года, когда web-разработчик двух библиотек JavaScript с более чем 22 миллионами загрузок! выпустил обновление, заставившее >21 000 зависимых приложений изрыгать тарабарщину, предваряемую словами "Liberty Liberty Liberty Liberty". Бесконечный цикл, вызванный обновлением, заставил программистов метаться в попытках исправить свои неработающие приложения.
Такого рода "акции" вскрывают риски, возникающие, когда армии добровольных разработчиков создают код, необходимый для работы сотен или тысяч других приложений. Некоторые программы с открытым исходным кодом автоматически загружают и включают новые версии зависимостей, и даже в тех случаях, когда этого не происходит, огромное количество кода часто делает ручную проверку нецелесообразной. Это означает, что обновление, сделанное одним человеком, может привести к сбоям в работе несметного числа приложений.
Функция очистки диска была добавлена в node-ipc версий 10.1.1 и 10.1.2. Уже вышло обновление пакета, которое удаляет вредоносную функцию. Мы рекомендуем разработчикам полностью отказаться от использования пакета. Если это невозможно, советуем использовать менеджер пакетов npm, чтобы отменить зараженные пакеты и установить известную работоспособную версию.
- Snyk
К сожалению местные исправления могут заставить работать то или иное приложение, но, как говорится "ложечки нашлись - осадок остался". И каждый такой инцидент не добавляет плюсов в репутацию свободного ПО и его разработчиков.