Autorzy modułu JS node-ipc celowo dodali malware

17.03.2022, 07:26:46

295

@k_suchy Nic nie usuwa a tworzy plik txt na dysku z wezwaniem do pokoju. Jest to nawet wymienione w changelogu:

v 9.2.2 - Added peacenotwar module. This is all.

This code serves as a non-destructive example of why controlling your node modules is important. It also serves as a non-violent protest against Russia's aggression that threatens the world right now. This module will add a message of peace on your users'

n.....a

konto usunięte 17.03.2022, 09:51:17

17

@nielu:

https://nvd.nist.gov/vuln/detail/CVE-2022-23812
https://gist.github.com/MidSpike/f7ae3457420af78a54b38a31cc0c809c

This affects the package node-ipc from 10.1.1 and before 10.1.3. This package contains malicious code, that targets users with IP located in Russia or Belarus, and overwrites their files with a heart emoji. Note: from versions 11.0.0 onwards, instead of having malicious code directly in the source of this package, node-ipc imports the peacenotwar package that includes potentially undesired behavior.

nielu

17.03.2022, 11:09:35

11

Treść przeznaczona dla osób powyżej 18 roku życia...

Rosly

17.03.2022, 07:31:13

128

Początek końca wolnego oprogramowania...
Gdyby autor tego zdania czytał licencję zauważył by zapewnie ze znajduje sie tam zapis o braku gwarancji i odpowiedzialności za skutki użycia.
Wolne nie znaczy "ściągnij i odpal bez zastanawiania się".
Daleko mi do pochwalania aktu celowego umieszczenia zlosliwego kodu ale autor tego zdania ewidentnie nie rozumie czym wolne oprogramowanie jest i co ono oferuje.
Ogólnie rzecz biorąc to nie są "ciastka za darmo" żeby je jeść bez

yoshi314

17.03.2022, 08:32:03

21

@Rosly: z jednej strony ludzie nauczyli się ufać metodom dystrybucji oprogramowania jak repozytoria w dystrybucjach linuksa (podpisy gpg itp). A z drugiej mamy serię wtop w publicznych serwisach kodu - zwłaszcza NPM.

Podobnie - dodawanie dziesiątek modłów i zależności JS bez zadnej refleksji to jakaś choroba obecnego webdevu.

myślę że ich jest po prostu za dużo, żeby je zweryfikować. dlatego ufa się repozytorium. Nikt ręcznie nie przegląda wszystkich źródel pakietów

henk

17.03.2022, 08:40:44

8

@Rosly: wzięło się to stad, że społeczność OS twierdziła, że to co dostarcza jest bezpieczne, bo każdy może sobie przeczytać kod i ma pewność, że nie siedzi tam nic podejrzanego. tylko dzięki ludzkiemu n----------u wyszło jak zawsze, programowanie i programiści się rozleniwili i ludzie myślą, że jak coś ma kod w necie, to nie może zawierać malware. w sumie, to nawet mi nie szkoda takich programersów, co beznamiętnie sobie repo

Sil79

17.03.2022, 05:41:21

82

Spokojnie, nie będzie czegoś takiego jak początek końca wolnego oprogramowania.

c.....7

konto usunięte 17.03.2022, 06:53:44

2

@Sil79: I dlatego powinniśmy przymknąć oko na pogwałcenie zasad wolnego oprogramowania?
Kuriozalna teza

c.....7

konto usunięte 17.03.2022, 06:59:15

3

@Sil79: Nie wprost jednak popierasz wciśnięcie exploita aby dowalić agresorowi? Czy nie?

zune

17.03.2022, 10:15:54

16

- папа, paczemu zabierają nas do obozu koncentracyjnego?
- nie wiem, nie interesuje się polityką

n.....a

konto usunięte 17.03.2022, 10:37:32

2

jednak tłumaczenie teraz Bin Ladenem jest mocno słabe

@zune: Bo nie był programistą? Odpowiedzialność zbiorowa jest fajna jak my, a nie nas.

Koloses

17.03.2022, 11:16:15

0

@niepopularna_opinia: Oczywiście, że nie, ale nie uznaję oprogramowania Open Source za zaufane właśnie ze względu na to, że autor za nic nie odpowiada. Jak aktualizacja mi specjalnie s-------i smartfon czy telewizor, to mogę pociągnąć producenta do odpowiedzialności. Gdy używam czyjegoś otwartego kodu nie przysługują mi żadne roszczenia względem autora i w normalnej firmie, która korzysta z takich rozwiązań nie aktualizuje się bibliotek na pałę, tylko robi review i wtedy dopiero

wrukwiony

17.03.2022, 08:29:40

15

Kiedy bedziemy mogli strzelac do rosjan na ulicach?
moze chociaz jakies pobicia?

R187

17.03.2022, 10:19:22 via Wykop Mobilny (Android)

-10

Treść przeznaczona dla osób powyżej 18 roku życia...

orejpolenatraktore

17.03.2022, 12:10:01

2

Kiedy bedziemy mogli strzelac do rosjan na ulicach?

@wrukwiony: no właśnie i dlaczego Ci którzy taką nienawiścią pałają do Rosjan, bojkotują wszystkie firmy, które działają w Rosji, głośno krzyczą na ten temat w Internecie nie pojadą po prostu na Ukrainę pomóc osobiście?
Walcząc tam przysłużą się dużo bardziej niż wyżywaniem się na każdym obywatelu Rosji.

ruum

17.03.2022, 08:29:34

7

Czy ktoś nie pomyślał w Rosji nie żyją sami Rosjanie i mogą to być ambasady członków NATO albo UE?

l.....v

konto usunięte 17.03.2022, 10:19:43

5

no cóż, coraz bliżej rozbicia internetu na bloki polityczne.

IvanBarazniew

17.03.2022, 06:48:20

5

Moduły node - i wszystko jasne. Nie pierwszy i nie ostatni raz.

Razi91

17.03.2022, 11:39:32 via Android

0

@IvanBarazniew dlatego się ich nie aktualizuje nigdy na żywca. Środowisko deweloperskie fajne, ale otoczka tragiczna, dzieci.

mug3n

17.03.2022, 11:15:39

3

Mieszanie OpenSource i polityki może być początkiem końca wolnego oprogramowania.

Co za głupoty. Wolne oprogramowanie to nie jest jakaś firma, która miesza się albo nie do polityki. Wywiady wielu stron nieraz próbowały przemycić coś do rdzenia linuxa albo np. paczek Ubuntu. Wolne nie znaczy, że w 100% bezpieczne. Od tego jest społeczność i otwarty kod, żeby to wyłapywać. Jeśli kod jakiejś aplikacji może przeczytać każdy, to jest o wiele trudniej coś ukryć,