Un développeur open source ajoute un « protestware » pro-Ukraine à l’outil JavaScript

Le développeur d’un outil open source populaire a ajouté un « protestware » pro-ukrainien au logiciel, a rapporté jeudi l’éminent journaliste spécialisé dans la cybersécurité Brian Krebs.

L’outil open source en question est connu sous le nom de node-ipc. Il est écrit dans le langage de programmation JavaScript et est utilisé pour les tâches de mise en réseau.

La startup de cybersécurité Snyk Ltd. a fourni une analyse technique de l’incident dans un article de blog. L’incident a commencé le 7 mars lorsque le développeur de node-ipc, l’utilisateur GitHub RIAEvangelist, a téléchargé une nouvelle version de l’outil appelée version 10.1.1.

Selon Snyk, la version 10.1.1 de node-ipc incluait un extrait de code conçu pour s’activer si l’outil est téléchargé sur un ordinateur situé en Russie ou en Biélorussie. Le code trouve des fichiers sur l’ordinateur de l’utilisateur et les écrase avec un emoji en forme de cœur, a détaillé Snyk.

Quatre heures après la sortie de la version 10.1.1 de node-ipc avec le code d’effacement des données, RIAEvangelist a téléchargé une version plus récente de l’outil avec un contenu pratiquement identique. Cinq heures plus tard, RIAevangelist a publié une troisième mise à jour qui « semble avoir supprimé toutes les indications de la charge utile destructrice susmentionnée », a détaillé Snyk.

Dans l’ensemble, le code d’effacement des données faisait partie de node-ipc pendant moins d’une journée selon Snyk.

Le 8 mars, le lendemain de l’ajout puis de la suppression du code d’effacement des données, une autre mise à jour a été déployée sur node-ipc. Cette mise à jour contenait un module appelé peacenotwar qui incluait la description « ce code sert d’exemple non destructif de l’importance du contrôle de vos modules de nœud. Il sert également de protestation non violente contre l’agression de la Russie qui menace le monde en ce moment. Ce module ajoutera un message de paix sur les ordinateurs de vos utilisateurs, et il ne le fera que s’il n’existe pas déjà juste pour être poli.

Un autre développement important s’est produit mardi dernier. Ce jour-là, RIAEvangelist a ajouté le module peacenotwar initialement déployé le 8 mars à une version différente de node-ipc connue sous le nom de node-ipc 9.2.2.

La version 9.2.2 de node-ipc est remarquable car elle est utilisée par de nombreux autres projets open source, y compris le framework Vue.js populaire pour la création d’interfaces d’application. Par conséquent, le module peacenotwar a été ajouté à Vue.js.

La sécurité des logiciels open source devient une préoccupation majeure pour l’industrie technologique. Le mois dernier, un groupe industriel soutenu par Microsoft Corp., Google LLC, Intel Corp. et d’autres grandes entreprises technologiques a lancé une initiative de sécurité open source appelée Alpha-Omega Project. L’initiative vise à corriger les vulnérabilités des projets open source et à encourager une adoption plus large des meilleures pratiques en matière de cybersécurité.

Image: Unsplash Montrez votre soutien à notre mission en rejoignant notre Cube Club et notre communauté d’experts Cube Event. Rejoignez la communauté qui comprend Amazon Web Services et le PDG d’Amazon.com Andy Jassy, ​​le fondateur et PDG de Dell Technologies Michael Dell, le PDG d’Intel Pat Gelsinger et bien d’autres sommités et experts. .