当前位置:首页 > 黑客技术 > 正文内容

开源模块维护者破坏代码,只为 *** 乌克兰战争

访客56年前 (1970-01-01)黑客技术1034

Hackernews 编译,转载请注明出处:

一个广泛应用于 Windows、 Linux 和 Mac 环境的开源模块的维护者最近破坏了它的功能,以 *** 乌克兰的战争,大众再次将注意力集中在与软件代码依赖相关的潜在的严重安全问题上。

Node-ipc 是一个用于进程间通信的 JavaScript 模块,数百万开发者在开发软件时使用这个模块。最近,该模块的作者 Brandon Nozaki Miller 在软件中插入了代码,用于删除定位于俄罗斯和白俄罗斯的开发者系统的所有文件。

后来,他迅速从 npm JavaScript 注册表中删除了包含雨刷代码的模块版本,但随后又发布了另一个名为“ peacenotwar”的模块,并使其成为 node-ipc 的依赖项。因此,下载了 node-ipc 的开发人员最终在桌面目录中放置了一个与乌克兰战争相关的消息传递文件。所有版本统计起来,node-ipc 模块平均每周的下载量超过一百万次。

应用程序安全供应商Snyk 本周调查了这起事件,并将其描述为破坏全球开源社区的行为的一个例子。“这起安全事件涉及一名维护人员破坏磁盘文件的破坏性行为,以及他们试图隐藏和重申以花式蓄意破坏的企图,”Snyk的开发商宣传总监 Liran Tal 在博客中说。“虽然这是一种出于 *** 动机的攻击,但它突显了软件供应链面临的一个更大的问题: 代码关联的依赖关系可能会对您的安全产生巨大影响。”

Node-ipc 事件是近几个月来第二起说明企业使用开放源码和第三方组件构建软件之后面临的严重风险的事件。

今年1月,Marak Squires——两个广泛使用的开源库—— colors.js 和 faker.js 的维护者——故意在模块中引入代码,导致依赖它们的应用程序多次打印输出“ liberty”一词,后面还跟着胡言乱语。Sonatype负责维护 Maven 中央 Java 包存储库并调查 Squires 事件,据称,‘ colors’有超过33亿次的下载量,在超过19000个项目中使用,而‘faker’则有超过2.72亿次的下载量和大约2500个依赖项目。因此,成千上万的应用程序受到了 Squires 的行动的影响,Sonatype 推测这可能是 Squires 对他认为的大公司和商业项目免费从他的工作中获益的一种 *** 形式。

危险的干预

Snyk 对最新 node-ipc 事件的分析表明,Miller,使用了 RIAEvangelist 这个名字,在2021年3月7日的几个小时内发布了包含破坏性代码(10.1.1和10.1.2)的两个 node-ipc 版本。被破坏的模块在被移除之前,可以在 npm JavaScript 注册表上下载,下载不到24小时就被删除了。尽管如此,与 node-ipc 相关的大量下载使得至少一些在代码中使用该模块的开发人员受到了影响,Tal 在 Dark Reading 的评论中说。

他说: “破坏性的10.1.1和10.1.2版本已经从 npmjs 的注册表中删除了,我们没来得及为它们收集任何下载数据。”但是,node-ipc 的10.x 版本分支每周大约有3,000次下载,因此可以有把握地假定,包含的雨刮器代码的下载量也是这样的数量。

一天后,也就是3月8日,米勒在 NPM 上发布了这个peacenotwar包。他说,这个模块既是对俄罗斯入侵乌克兰的 *** ,也是一个“非破坏性”的例子,正说明开发人员需要对节点模块实施更多控制。这应该作为一个有益的例子,说明团队应该使用显式依赖版本,”Miller 在一个 GitHub 线程中说。“升级与否永远是我们来决定。”

Tal 表示,peacenotwar 模块最初只有几十到几百次下载,但是,当它被添加为主流 node-ipc 分支的一个依赖项,下载量就超过了4万次。“不过请记住,这个模块的破坏性较小,但对终端用户来说仍然相当令人担忧。”

在一份声明中,Sonatype 首席技术官 Brian Fox 说,最近的事件表明了开发人员在选择使用开源模块时应该审查维护人员。他建议开发人员应该只从基金会支持的项目中选择代码,而不是从个人项目中选择代码。选择一个只有一个维护人员的项目意味着要完全信任一个开发人员。他指出,由基金会支持的开源项目往往更可控,这使得单个开发人员很难以一己之力改变代码。

Tal说,之前的研究表明,关联的依赖关系与每个被添加到正在构建的软件中的模块显著息息相关。他指出,2019年的一项研究显示,由于可传递的依赖关系,开发人员平均安装一个 npm 包就隐式信任其他80个包。他表示: “一些非常受欢迎的软件包可以达到10万多个其他软件包,这使得它们成为主要的攻击目标。”

供应链安全问题已经增加,应该是任何开发者,创业者,或企业的头等大事,Tal说。安全问题与维护者的声誉、许可证、安全漏洞和项目的可维护性都有关。“开发人员应该仔细检查开源组件的总体健康评分,其中包括上述所有标准,或许还不止。”

消息来源:DarkReading,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32163.html

标签: HackerNews黑客安全互联网国际威胁情报维基解密
返回列表

没有更早的文章了...

下一篇:上海期货交易实时行情 - 上海期货铜行情

“开源模块维护者破坏代码,只为 *** 乌克兰战争” 的相关文章

意大利对 Clearview AI 罚款 2000 万欧元并令其删除数据

一家欧洲隐私监督机构已经制裁了有争议的面部识别公司Clearview AI,该公司从互联网上搜刮自拍,积累了约100亿张脸的数据库,为其出售给执法部门的身份匹配服务。意大利的数据保护机构今天宣布对Clearview AI违反欧盟法律的行为处以2000万欧元罚款。 同时命令这家有争议的公司删除其...

研究报告显示 2021 年加密货币牛市使犯罪分子更加富有

根据区块链数据公司Chainalysis的一份报告,在2021年底,网络犯罪分子拥有超过110亿美元与非法活动有关的加密货币,比2020年底的30亿美元有了飞速的增长。最有利可图的犯罪行为是盗窃。据该公司称,犯罪分子、加密货币钱包中93%的资金是由价值98亿美元的被盗币构成。 为了找到这些数字,Ch...

研究人员发现三个联想电脑的 UEFI 漏洞 影响规模可达数百万台

根据The Hacker News的报道,有三个高影响的统一可扩展固件接口(UEFI)安全漏洞被公布,即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,已被发现它们会影响联想的各种设备,如联想Flex、IdeaPads和Yoga笔记本电脑。 最初,CVE-202...

加密货币使勒索软件的使用变得更加普遍

眼下,勒索软件已经成为互联网上的一种趋势,它的目标包括企业、政府机构、医院和学校。这是一个几十年前就存在的问题,但在过去几年中变得非常普遍。最初,黑客以个人为目标,要求提供几百美元的比特币,但现在他们追求更大的目标,他们可以勒索更大的金额,并且被勒索放在没有电脑和服务器的情况下无法继续正常使用 密...

一项研究显示各家汽车制造商收集了海量个人信息

大多数人都知道,现代电子设备,如智能手机、平板电脑和计算机,存储了我们个人和私人生活的一系列信息,我们不希望陌生人得到这些信息。然而,许多人没有考虑到他们的车辆信息娱乐系统和其他系统内到底储存了多少个人信息。 现在一份报告研究了全球15大汽车制造商,并调查了它们之间的数据共享政策。该研究对每个品牌2...

InsydeH2O UEFI BIOS 被曝存在 23 个安全漏洞 波及大批电脑厂家

专业处理固件威胁的安全研究公司 Binarly,刚刚在周二的一篇博客文章中披露了 InsydeH2O“Hardware-2-Operating System”UEFI BIOS 中存在的问题。作为微软、英特尔、惠普、戴尔、联想、西门子、富士通等多家科技巨头的固件供应商,这意味着它们都易受将近两打安全...

评论列表

寻妄征棹
寻妄征棹
3年前 (2022-06-02)

Script 注册表上下载,下载不到24小时就被删除了。尽管如此,与 node-ipc 相关的大量下载使得至少一些在代码中使用该模块的开发人员受到了影响,Tal 在 Dar

回复该评论
痴妓二囍
痴妓二囍
3年前 (2022-06-03)

人员很难以一己之力改变代码。Tal说,之前的研究表明,关联的依赖关系与每个被添加到正在构建的软件中的模块显著息息相关。他指出,2019年的一项研究显示,由于可传递的依赖关

回复该评论

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。

Copyright Your WebSite.Some Rights Reserved.