Приключения разработчика вредоносного npm-пакета

Я не совсем понимаю, в чем вина человека, разместившего свой код в свободном доступе? Ну вот по пунктам может кто разложить? Там какие-то ограничения лицензионные от автора или что?

Ты ведь не думаешь, что профессиональные либо любые другие навыки человека коррелируют с его уровнем общего развития? Человек может быть гениальным математиком, но при этом заряжать воду об телевизор или засовывать в жопу огурец, чтобы вылечить мигрень. В первой части он умный профессионал, во второй дебил.

Вопрос этики. Имеешь ты моральное право добавлять в свой свободный продукт, который (ты знаешь об этом) используется в тысячах проектов по всему миру, допустим, код, который рисует на экране член или удаляет все файлы пользователей.

С одной стороны - это твой код, с другой - наверное, есть некая ответственность перед пользователями.

На мой взгляд он лишь сделал то, чего вполне можно было ожидать. Везде есть дебилы, в любой сфере. Если дебилы имеют активную точку зрения и доступ к чему-либо, они могут поднасрать. На волне всеобщей истерии, наблюдаемой сейчас во всех сферах, это вполне ожидаемо.

Ты ведь не думаешь

нет, конечно, не думаю. меня просто удивляет, что спуффинг, ты или кто-то еще считает себя умнее по сравнению с таким «дебилом». информационно обработать можно любого человека. над этим постоянно работают профессионалы в своей области. почему наши представления сейчас не являются продуктом их деятельности?

Так уж вышло, что создание и распространение вредоносного программного обеспечения является уголовнонаказуемым преступлением, преследуемым по закону в большинстве развитых стран мира.

Вредоносным программным обеспечением является любая программа, которая путем несанкционированных действий наносит ущерб, если это поведение не было программное ошибкой.

Ущербом в том числе является изменение, уничтожение, и подмена компьютерной информации.

Несанкционированное поведение, это такое поведение, о котором не было заведомо заявлено и которое совершается без полученных на то разрешений.

Библиотека node-ipc является модулем для межпроцессного взаимодействия по средствам различных сетевых протоколов. Уничтожение всей информации на жестком диске не является ни теоретической функциональностью данной программы, не фактической заведомо заложенной в нее.

Разработчик и непосредственный автор данной библиотеки Брендан Миллер, собственноручно добавил вредоносный код и разместил его в публичном репозитории сервиса github. Данный код не является программной ошибкой, он написан с определенной целью, и с наличием определенного злого умысла. О добавлении данного поведения заявлено не было, это был встроенный заведомо обфусцированный программный код, с целью усложнить анализ.

После этого, будучи в то же время сопровождающим пакета (мейнтернером) своей разработки Брендан Миллер опакетил очередную версию этой бибилотеки, и разместил ее в публичном репозитории пакетов npm. Зная о том, что его модуль является транзитивной зависимостью у большого числа иных проектов.

Таким образом Брендан Миллер создал и распространил вредоносное программное обеспечение, наносящее ущерб путем несанкционированного уничтожения данных.

Ну вот по пунктам может кто разложить?

• Он нарушил ToS сервиса github, запрещающие размещать репозитории активных вредоносных программ, если это не учебные и не исследовательские проекты с явным описанием вредоносного поведения.
• Он нарушил ToS сервиса npm, запрещающие размещать вредоносные программы
• Он нарушил уголовный кодекс штата Калифорния, в котором он проживает
• Наконец он банально преступил морально-этические принципы существования опенсорс сообщества

Я не совсем понимаю, в чем вина человека, разместившего свой код в свободном доступе?

Так уж вышло, но размещение чего-либо в свободном доступе не дает никакого права кому-либо вредить и тем более совершать преступления. К великому сожалению, нельзя уйти от ответсвенности, просто распространяя вредоносы свободно, бесплатно, или хоть под лицензией в которой прописан отказ от отвественности.

Более того, все существующие трояны, вирусы, шифровальшики, и криптомайнеры оказывается тоже распространяются совершенно свободно, непонятно за что же всех наказывают.

Как не удивительно, ровно так же нельзя кормить людей пирожками с цианистым калием, даже если делать это совершенно бесплатно и предварительно раздавая им уведомления о том, что никто никому ничего не должен.

не совсем понимаю

Вполне возможно, что это было бы понятнее и доступнее большинству, если бы с очередным обновлением, допустим libssl, в ней появился незаявленный код, который ежегодно в честь дня расстрела Чикатило, форматирует жесткие диски на устройствах. Хотя в то же время, меня совершенно пугает, когда я вижу по всей сети подобные вопросы, и тем более отсылки к таким аргументам как «разметил свободно», «отказ от ответсвенности», «вы сами виноваты что вас изнасиловали» и все в таком духе.

Пока не ясно был ли твиттер Брендона действительно взломан анонами с реддита или форчана, хотя в твиттере и добавлена подпись о том, что он взломан, и ведется ли против него травля с заказыванием на его адрес пицц и вызова полиции, или он сам выбрал такую тактику, чтобы отвести внимание от своего поступка.

Не важно: если он действительно задел правоза'shit'ников, то ему лучше сразу вешаться.

Я не считаю себя умнее. Я констатирую факт, что человек, не умеющий в подумать о своих действиях, по умолчанию дебил. И я таким бывал, да.

Вина его в том, что он посмел осуществлять деструктивную деятельность против Великой Российской Империи.

хорошо, что в данной ситуации пострадал только сам дебил.

С чего ты взял, что только он пострадал? https://github.com/RIAEvangelist/node-ipc/issues/308 тут есть информация о том, что пострадал некий инагент. А сколько из тех, кто пострадал, но не понял, от чего, мы и не узнаем.

то есть ты согласен, что на его месте мог оказаться каждый?

Хотел написать развернутый ответ Anoxemian, но ты уже все сделал. Спасибо, подпишусь под каждым словом, кроме «К великому сожалению, нельзя уйти от ответсвенности, просто распространяя вредоносы свободно, бесплатно, или хоть под лицензией в которой прописан отказ от отвественности.». Не к сожалению, а к счастью так делать нелья.

Справедливости ради, вся эта история про пострадавшую Американскую НКО очень толстый вброс, без единого пруфа.

Она просто демонстрирует граничный случай того, к чему приводят массовые неизбирательные атаки против некомбатантов.

Так я же говорю, я ни к каким действиям никого призывать не пытаюсь, а лишь стараюсь освещать то, что происходит.

топи за флешмоб «давайте отрепортим гитхабу нарушение ToS»

Так ГХ уже давно заспамили такими жалобами. Все получили стандартный ответ

«Our team is currently investigating the account in question to determine if their content or conduct violates GitHub’s Terms of Service.»

Достаточно сравнить с тем, как развивались события с color.js и faker, чтобы в принципе понять, что на этот раз никаких действий они скорее всего предпринимать не станут.

Достаточно сравнить с тем, как развивались события с color.js и faker, чтобы в принципе понять, что на этот раз никаких действий они скорее всего предпринимать не станут.

Базовый ответ стандартный. Такие штуки как выпилить юзера с гитхаба за день не решаются, это серьезный публичный прецедент. Гитхабу не нужна слава, что они по желанию левой пятки могут выпилить любого опенсорсного разработчика.

Можно попробовать на форуме тему создать, там где cutrussiafromgitub было. Чтобы попрессовать суппорт. Типа «прошу открытого разбирательства».

Такие штуки как выпилить юзера с гитхаба за день не решаются, это серьезный публичный прецедент. Гитхабу не нужна слава, что они по желанию левой пятки могут выпилить любого опенсорсного разработчика.

Я же специально упомянул color.js и faker
В тех случаях разработчика выпилили именно за день. Более того, его репозтории приватизровала себе компания.

Я не отслеживал ситуацию. Но там разработчик был патентованным мудаком со стажем. Он даже мне лично свои e#ланские предъявы за https://github.com/nodeca/charlatan кидал :). Тут параллели не всегда работают.

Так его, противного негодяя!

Это из разряда «телефонные мошенники обманули бабушку, значит, бабушка сама виновата»?

Если бабушка настолько глупа чтобы повестись на очевидный развод - то да.

В vcs можно посмотреть последние коммиты.

victim blaming при наличии явного умысла не очень работает :)

Что такое npm-пакет? Ты хотел сказать rpm-пакет?

я вчера видела публичные обвинения автора малюсенького PHP
скрипта, который на сайте добавляет маленький баннер «Z»,
в том, что его скрипт снёс сайт и все испортил (а также отослал личные данные его детей каннибалам из Мордора).

При этом сам скрипт 988 байт, аудит проводится элементарно.


Вот такая сейчас повсеместная подмена понятий и готовность идти на любую грязь и фейки, втч в OpenSource.

NPM - Na PoMойке, экосистема nodejs
Неоднократно известная тем, что авторы обиженные на весь мир или его часть делали гадости, суя малварь или просто удаляя репозиторий, где скриптик из 30 строк был зависимостью для миллионов установок чего-либо еще.

Этот разраб далеко не первый обиженка в этой экосистеме, и не последний.

В данном случае, прежде, чем обвинить автора провели полный анализ и деобфускацию его кода, в котором ясно все видно что этот код делает. Только потом было зарегистрировано CVE.

Всё отличие npm (которое давно не только лишь экосистема node,js если что) от других экосистем в том, что тут сами разработчики являются мейнтейнерами.

Этот разраб далеко не первый обиженка в этой экосистеме, и не последний.

Это случается не только в npm, и далеко не npm был первым. Вредоносный код мейнтенерился в таких публичных экосистемах, как aur (arch linux), pip (python), ruby gems.

Иные же репозитории, где верификация проходит более сложным образом тоже были подвержены атакам, просто не со стороны мейнтернеров напрямую. В истории были дискредитации репозиториев gentoo, linux mint, ломали kernel.org и даже засылали вредоносные патчи в ядро (привет, Университет Минесоты).

И даже от самих мейнтенеров были хоть и не явно злонамеренные выходки, но все же неоднозначные. Например, этим славится такой мейнтенер debian’а JWZ, который еще заблаговременно в 1999 году внес пасхалку в утлиту отображения часов, которые с началом нового тысячелителия начинала крутить их в обратную сторону (таким образом он пытался пошутить на тему проблемы 2000 года). А в 2016-ом году устав отвечать на баг-репорты по устаревшему пакету, просто пропатчил этот пакет таким образом, чтобы ответ на однотипный багрепорт выводился прямо на экране пользователя на лок-скрине.

хорошая подборка, спасибо