Dev портит цвета и фейкер NPM-библиотек, ломая тысячи приложений

5
Goodwill раскрывает утечку данных на своей платформе ShopGoodwill

Пользователи популярных библиотек с открытым исходным кодом «colors» и «faker» были ошеломлены, увидев свои приложения, использующие эти библиотеки, печатающие тарабарщину данных и взламывающие их.

Некоторые предполагали, что библиотеки NPM были скомпрометированы, но оказалось, что дело не только в этом.

Разработчик этих библиотек намеренно ввел бесконечный цикл, который блокировал тысячи проектов , зависящих от «цветов» и «фейкеров».

Библиотека цветов получает более 20 миллионов загрузок в неделю только на npm, и на нее опирается почти 19 000 проектов. Принимая во внимание, что faker получает более 2,8 миллиона загрузок в неделю на npm и имеет более 2500 иждивенцев.

Революция с открытым исходным кодом?
Разработчик популярных библиотек NPM с открытым исходным кодом «colors» (также известный как «colors.js» на GitHub ) и «faker» (также известный как «faker.js» на GitHub ) намеренно ввел в них вредоносные коммиты, которые влияют на тысячи приложений, использующих эти библиотеки. .

Вчера пользователи популярных проектов с открытым исходным кодом, таких как Amazon’s Cloud Development Kit (aws-cdk), были ошеломлены, увидев, как их приложения выводят на консоль бессмысленные сообщения.

Эти сообщения включали текст «LIBERTY LIBERTY LIBERTY», за которым следовала последовательность символов, отличных от ASCII.

Первоначально пользователи подозревали, что библиотеки «colors» и «faker», используемые этими проектами, были скомпрометированы, аналогично тому, как в прошлом году злоумышленники захватили библиотеки coa, rc и ua-parser-js.

Но на самом деле именно разработчик цветов и мошенник, по-видимому, намеренно допустил код, ответственный за серьезную ошибку.

Разработчик по имени Marak Squires вчера добавил «новый модуль американского флага» в библиотеку colors.js в версии v1.4.44-liberty-2, которую он затем отправил на GitHub и npm.

Бесконечный цикл введен в коде будет продолжать работать неопределенно долго; бесконечная печать на консоли бессмысленной последовательности символов, отличных от ASCII, для любых приложений, использующих «цвета».

Точно так же, саботировали версия «6.6.6» из FAKER был опубликован в GitHub и НПМ.

«Нам стало известно, что в выпуске цветов v1.4.44-liberty-2 есть ошибка zalgo», — издевался разработчик.

«Пожалуйста, знайте, что мы работаем прямо сейчас, чтобы исправить ситуацию, и вскоре мы получим решение».

Текст Zalgo относится к определенным символам, отличным от ASCII, которые кажутся глючными.

Причиной этого злодеяния со стороны разработчика, по-видимому, является возмездие против мегакорпораций и коммерческих потребителей проектов с открытым исходным кодом, которые широко полагаются на бесплатное программное обеспечение, поддерживаемое сообществом, но, по словам разработчика, не возвращают общество.

В ноябре 2020 года Марак предупредил, что больше не будет поддерживать крупные корпорации своей «бесплатной работой» и что коммерческим организациям следует рассмотреть возможность либо разветвления проектов, либо выплаты разработчику годовой «шестизначной» зарплаты.

«Со всем уважением, я больше не собираюсь поддерживать Fortune 500 (и другие компании меньшего размера) своей бесплатной работой. Больше нечего сказать», — ранее писал разработчик.

«Используйте это как возможность прислать мне шестизначный годовой контракт или разветвить проект, чтобы кто-то другой работал над ним.

Интересно, что на сегодняшний день BleepingComputer заметил, что страница README для « фальшивого» репозитория GitHub также была изменена разработчиком, чтобы сослаться на Аарона Шварца, заявив: «Что на самом деле произошло с Аароном Шварцем?»

Шварц был американским программистом, предпринимателем и известным хактивистом, который после судебного разбирательства покончил жизнь самоубийством.

Стремясь сделать информацию свободно доступной для всех, хактивист загрузил миллионы журнальных статей из базы данных JSTOR, присутствующей в сети кампуса Массачусетского технологического института, предположительно многократно меняя свои IP- и MAC-адреса, чтобы обойти технологические блоки, установленные JSTOR и Массачусетский технологический институт.

В процессе этого Шварц, возможно, нарушил Закон о компьютерном мошенничестве и злоупотреблениях, и ему были предъявлены уголовные обвинения с наказанием до тридцати пяти лет тюремного заключения.

Невероятная банка червей

Смелый шаг Марака открыл банку червей и вызвал неоднозначную реакцию.

Некоторые члены сообщества программного обеспечения с открытым исходным кодом хвалят действия разработчика, в то время как другие возмущены им.

«Очевидно, что автор ‘colors.js’ злится из-за того, что ему не платят… Поэтому он решил печатать американский флаг каждый раз, когда загружается его библиотека… Что за хрень», — написал один из пользователей.

Некоторые назвали это случаем «еще одного мошенника-разработчика OSS», тогда как эксперт по информационной безопасности VessOnSecurity назвал это действие « безответственным », заявив:

«Если у вас есть проблемы с бизнесом, использующим ваш бесплатный код бесплатно, не публикуйте бесплатный код. Саботируя свои собственные широко используемые вещи, вы наносите вред не только большому бизнесу, но и всем, кто их использует. Это приучает людей не обновлять, потому что вещи может сломаться».

«Удаление собственного кода из [GitHub] является нарушением их Условий обслуживания? Что за хрень? Это похищение. Нам нужно начать децентрализацию хостинга исходного кода бесплатного программного обеспечения», — ответил инженер-программист Серхио Гомес.

«Никогда не знаешь, что случилось, но я размещаю все свои проекты в частном экземпляре GitLab только потому, что со мной происходят подобные вещи. Никогда не доверяй никакому интернет-провайдеру», — написал другой.

«Марак встречался с фальшивомонетчиком и красками, забрасывал тонны проектов и ожидал, что ничего не произойдет?» заявил разработчик по имени Пьеро.

Обратите внимание: неожиданный шаг Марака последовал за недавним фиаско с Log4j, которое взорвало интернет .

Библиотека с открытым исходным кодом Log4j широко используется в широком спектре приложений Java, в том числе разработанных корпорациями и коммерческими организациями.

Но, вскоре после массовой эксплуатации уязвимости Log4shell, сопровождающие библиотеки с открытым исходным кодом безвозмездно трудились в праздничные дни, чтобы пропатчить проект, поскольку обнаруживалось все больше и больше CVE.

Возникли опасения по поводу того, как крупный бизнес привык «эксплуатировать» открытый исходный код; потребляя его непрерывно, но не отдавая достаточно, чтобы поддержать неоплачиваемых добровольцев, которые поддерживают эти критически важные проекты, отказываясь от своего свободного времени.

Некоторые также критиковали пользователей сети и охотников за ошибками, преследующих сопровождающих Log4j, которые уже «бессонно работали над мерами по смягчению последствий: исправлениями, документами, CVE, ответами на запросы и т. д.».

«Ответы авторам colors.js/faker.js, саботирующим их собственные пакеты, действительно говорят о том, как много корпоративных разработчиков считают, что они имеют моральное право на неоплачиваемый труд разработчиков с открытым исходным кодом, ничего не внося взамен», — написал один из пользователей Twitter.

Время покажет, что повлечет за собой будущее программного обеспечения с открытым исходным кодом в отношении проблемы устойчивости OSS.

Тем временем пользователи «цветных» и «поддельных» проектов NPM должны убедиться, что они не используют небезопасную версию. Одним из решений является переход на более раннюю версию цветов (например, 1.4.0) и фейкер (например, 5.5.3).

Предыдущая статьяЕС планирует закон, обязывающий технологические компании делать больше для борьбы с жестоким обращением с детьми
Следующая статьяИндийская финтех-компания Pine Labs конфиденциально подала заявку на IPO в США

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь