LINUX.ORG.RU
ФорумTalks

Приключения разработчика вредоносного npm-пакета

 


2

2

Вчера в твиттере разработчика npm-пакета node-ipc Брендона Миллера (RIAEvangelist), который накануне встроил вредоносный код в свою разработку, сменился аватар на Российски флаг и появилось несколько провокационных твиттов, в которых он извиняется перед всеми и своей женой, признается в содеяном, а так же оскорбляет украинцев.

I spread malware and cheat on my wife

My name is Brandon Charles Miller, In 2014 i joined the adultery site ashley madison to cheat on my wife, i bought a 50$ upgrade. I am sorry for everything i have done

Выкладывает деанонимизирующее досье

read more about me https://doxbin.com/upload/BrandonNozakiMiller

fuck jannies for taking down my /g/ thread

REMINDER i cheated on my wife 5 months after marrying her in 2014

По состоянию на 6 утра по МСК посты в твиттере сохранены.

Так же в README репозитория того самого пакета на гитхабе он разметил сообщение

Thanks for all the free pizza, and thanks to all the police that showed up to SWAT me. They were really nice fellas.

Пока не ясно был ли твиттер Брендона действительно взломан анонами с реддита или форчана, хотя в твиттере и добавлена подпись о том, что он взломан, и ведется ли против него травля с заказыванием на его адрес пицц и вызова полиции, или он сам выбрал такую тактику, чтобы отвести внимание от своего поступка.



Последнее исправление: javascript (всего исправлений: 5)

Я не совсем понимаю, в чем вина человека, разместившего свой код в свободном доступе? Ну вот по пунктам может кто разложить? Там какие-то ограничения лицензионные от автора или что?

Anoxemian ★★★★★
()
Ответ на: комментарий от crypt

Ты ведь не думаешь, что профессиональные либо любые другие навыки человека коррелируют с его уровнем общего развития? Человек может быть гениальным математиком, но при этом заряжать воду об телевизор или засовывать в жопу огурец, чтобы вылечить мигрень. В первой части он умный профессионал, во второй дебил.

Zhbert ★★★★★
()
Ответ на: комментарий от Anoxemian

Вопрос этики. Имеешь ты моральное право добавлять в свой свободный продукт, который (ты знаешь об этом) используется в тысячах проектов по всему миру, допустим, код, который рисует на экране член или удаляет все файлы пользователей.

С одной стороны - это твой код, с другой - наверное, есть некая ответственность перед пользователями.

Zhbert ★★★★★
()
Ответ на: комментарий от ergo

На мой взгляд он лишь сделал то, чего вполне можно было ожидать. Везде есть дебилы, в любой сфере. Если дебилы имеют активную точку зрения и доступ к чему-либо, они могут поднасрать. На волне всеобщей истерии, наблюдаемой сейчас во всех сферах, это вполне ожидаемо.

Zhbert ★★★★★
()
Ответ на: комментарий от Zhbert

Ты ведь не думаешь

нет, конечно, не думаю. меня просто удивляет, что спуффинг, ты или кто-то еще считает себя умнее по сравнению с таким «дебилом». информационно обработать можно любого человека. над этим постоянно работают профессионалы в своей области. почему наши представления сейчас не являются продуктом их деятельности?

crypt ★★★★★
()
Ответ на: комментарий от Anoxemian

Так уж вышло, что создание и распространение вредоносного программного обеспечения является уголовнонаказуемым преступлением, преследуемым по закону в большинстве развитых стран мира.

Вредоносным программным обеспечением является любая программа, которая путем несанкционированных действий наносит ущерб, если это поведение не было программное ошибкой.

Ущербом в том числе является изменение, уничтожение, и подмена компьютерной информации.

Несанкционированное поведение, это такое поведение, о котором не было заведомо заявлено и которое совершается без полученных на то разрешений.

Библиотека node-ipc является модулем для межпроцессного взаимодействия по средствам различных сетевых протоколов. Уничтожение всей информации на жестком диске не является ни теоретической функциональностью данной программы, не фактической заведомо заложенной в нее.

Разработчик и непосредственный автор данной библиотеки Брендан Миллер, собственноручно добавил вредоносный код и разместил его в публичном репозитории сервиса github. Данный код не является программной ошибкой, он написан с определенной целью, и с наличием определенного злого умысла. О добавлении данного поведения заявлено не было, это был встроенный заведомо обфусцированный программный код, с целью усложнить анализ.

После этого, будучи в то же время сопровождающим пакета (мейнтернером) своей разработки Брендан Миллер опакетил очередную версию этой бибилотеки, и разместил ее в публичном репозитории пакетов npm. Зная о том, что его модуль является транзитивной зависимостью у большого числа иных проектов.

Таким образом Брендан Миллер создал и распространил вредоносное программное обеспечение, наносящее ущерб путем несанкционированного уничтожения данных.

Ну вот по пунктам может кто разложить?

  • Он нарушил ToS сервиса github, запрещающие размещать репозитории активных вредоносных программ, если это не учебные и не исследовательские проекты с явным описанием вредоносного поведения.
  • Он нарушил ToS сервиса npm, запрещающие размещать вредоносные программы
  • Он нарушил уголовный кодекс штата Калифорния, в котором он проживает
  • Наконец он банально преступил морально-этические принципы существования опенсорс сообщества

Я не совсем понимаю, в чем вина человека, разместившего свой код в свободном доступе?

Так уж вышло, но размещение чего-либо в свободном доступе не дает никакого права кому-либо вредить и тем более совершать преступления. К великому сожалению, нельзя уйти от ответсвенности, просто распространяя вредоносы свободно, бесплатно, или хоть под лицензией в которой прописан отказ от отвественности.

Более того, все существующие трояны, вирусы, шифровальшики, и криптомайнеры оказывается тоже распространяются совершенно свободно, непонятно за что же всех наказывают.

Как не удивительно, ровно так же нельзя кормить людей пирожками с цианистым калием, даже если делать это совершенно бесплатно и предварительно раздавая им уведомления о том, что никто никому ничего не должен.

не совсем понимаю

Вполне возможно, что это было бы понятнее и доступнее большинству, если бы с очередным обновлением, допустим libssl, в ней появился незаявленный код, который ежегодно в честь дня расстрела Чикатило, форматирует жесткие диски на устройствах. Хотя в то же время, меня совершенно пугает, когда я вижу по всей сети подобные вопросы, и тем более отсылки к таким аргументам как «разметил свободно», «отказ от ответсвенности», «вы сами виноваты что вас изнасиловали» и все в таком духе.

javascript
() автор топика

Пока не ясно был ли твиттер Брендона действительно взломан анонами с реддита или форчана, хотя в твиттере и добавлена подпись о том, что он взломан, и ведется ли против него травля с заказыванием на его адрес пицц и вызова полиции, или он сам выбрал такую тактику, чтобы отвести внимание от своего поступка.

Не важно: если он действительно задел правоза'shit'ников, то ему лучше сразу вешаться.

dexpl ★★★★★
()
Ответ на: комментарий от crypt

Я не считаю себя умнее. Я констатирую факт, что человек, не умеющий в подумать о своих действиях, по умолчанию дебил. И я таким бывал, да.

Zhbert ★★★★★
()
Ответ на: комментарий от Anoxemian

Вина его в том, что он посмел осуществлять деструктивную деятельность против Великой Российской Империи.

Legioner ★★★★★
()
Ответ на: комментарий от Spoofing

хорошо, что в данной ситуации пострадал только сам дебил.

С чего ты взял, что только он пострадал? https://github.com/RIAEvangelist/node-ipc/issues/308 тут есть информация о том, что пострадал некий инагент. А сколько из тех, кто пострадал, но не понял, от чего, мы и не узнаем.

Legioner ★★★★★
()
Ответ на: комментарий от Zhbert

то есть ты согласен, что на его месте мог оказаться каждый?

crypt ★★★★★
()
Ответ на: комментарий от javascript

Хотел написать развернутый ответ Anoxemian, но ты уже все сделал. Спасибо, подпишусь под каждым словом, кроме «К великому сожалению, нельзя уйти от ответсвенности, просто распространяя вредоносы свободно, бесплатно, или хоть под лицензией в которой прописан отказ от отвественности.». Не к сожалению, а к счастью так делать нелья.

another ★★★★★
()
Ответ на: комментарий от Legioner

Справедливости ради, вся эта история про пострадавшую Американскую НКО очень толстый вброс, без единого пруфа.

Она просто демонстрирует граничный случай того, к чему приводят массовые неизбирательные атаки против некомбатантов.

javascript
() автор топика
Ответ на: комментарий от Vit

Так я же говорю, я ни к каким действиям никого призывать не пытаюсь, а лишь стараюсь освещать то, что происходит.

топи за флешмоб «давайте отрепортим гитхабу нарушение ToS»

Так ГХ уже давно заспамили такими жалобами. Все получили стандартный ответ

«Our team is currently investigating the account in question to determine if their content or conduct violates GitHub’s Terms of Service.»

Достаточно сравнить с тем, как развивались события с color.js и faker, чтобы в принципе понять, что на этот раз никаких действий они скорее всего предпринимать не станут.

javascript
() автор топика
Последнее исправление: javascript (всего исправлений: 1)
Ответ на: комментарий от javascript

Достаточно сравнить с тем, как развивались события с color.js и faker, чтобы в принципе понять, что на этот раз никаких действий они скорее всего предпринимать не станут.

Базовый ответ стандартный. Такие штуки как выпилить юзера с гитхаба за день не решаются, это серьезный публичный прецедент. Гитхабу не нужна слава, что они по желанию левой пятки могут выпилить любого опенсорсного разработчика.

Можно попробовать на форуме тему создать, там где cutrussiafromgitub было. Чтобы попрессовать суппорт. Типа «прошу открытого разбирательства».

Vit ★★★★★
()
Ответ на: комментарий от Vit

Такие штуки как выпилить юзера с гитхаба за день не решаются, это серьезный публичный прецедент. Гитхабу не нужна слава, что они по желанию левой пятки могут выпилить любого опенсорсного разработчика.

Я же специально упомянул color.js и faker
В тех случаях разработчика выпилили именно за день. Более того, его репозтории приватизровала себе компания.

javascript
() автор топика
Ответ на: комментарий от javascript

Я не отслеживал ситуацию. Но там разработчик был патентованным мудаком со стажем. Он даже мне лично свои e#ланские предъявы за https://github.com/nodeca/charlatan кидал :). Тут параллели не всегда работают.

Vit ★★★★★
()

Так его, противного негодяя!

paran0id ★★★★★
()
Ответ на: комментарий от hobbit

Это из разряда «телефонные мошенники обманули бабушку, значит, бабушка сама виновата»?

Если бабушка настолько глупа чтобы повестись на очевидный развод - то да.

Meyer ★★★★★
()
Ответ на: комментарий от lenin386

В vcs можно посмотреть последние коммиты.

Meyer ★★★★★
()
Ответ на: комментарий от Meyer

victim blaming при наличии явного умысла не очень работает :)

kott ★★★★★
()

я вчера видела публичные обвинения автора малюсенького PHP
скрипта, который на сайте добавляет маленький баннер «Z»,
в том, что его скрипт снёс сайт и все испортил (а также отослал личные данные его детей каннибалам из Мордора).

При этом сам скрипт 988 байт, аудит проводится элементарно.


Вот такая сейчас повсеместная подмена понятий и готовность идти на любую грязь и фейки, втч в OpenSource.

Sylvia ★★★★★
()
Ответ на: комментарий от ZenitharChampion

NPM - Na PoMойке, экосистема nodejs
Неоднократно известная тем, что авторы обиженные на весь мир или его часть делали гадости, суя малварь или просто удаляя репозиторий, где скриптик из 30 строк был зависимостью для миллионов установок чего-либо еще.

Этот разраб далеко не первый обиженка в этой экосистеме, и не последний.

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

В данном случае, прежде, чем обвинить автора провели полный анализ и деобфускацию его кода, в котором ясно все видно что этот код делает. Только потом было зарегистрировано CVE.

javascript
() автор топика
Ответ на: комментарий от Sylvia

Всё отличие npm (которое давно не только лишь экосистема node,js если что) от других экосистем в том, что тут сами разработчики являются мейнтейнерами.

Этот разраб далеко не первый обиженка в этой экосистеме, и не последний.

Это случается не только в npm, и далеко не npm был первым. Вредоносный код мейнтенерился в таких публичных экосистемах, как aur (arch linux), pip (python), ruby gems.

Иные же репозитории, где верификация проходит более сложным образом тоже были подвержены атакам, просто не со стороны мейнтернеров напрямую. В истории были дискредитации репозиториев gentoo, linux mint, ломали kernel.org и даже засылали вредоносные патчи в ядро (привет, Университет Минесоты).

И даже от самих мейнтенеров были хоть и не явно злонамеренные выходки, но все же неоднозначные. Например, этим славится такой мейнтенер debian’а JWZ, который еще заблаговременно в 1999 году внес пасхалку в утлиту отображения часов, которые с началом нового тысячелителия начинала крутить их в обратную сторону (таким образом он пытался пошутить на тему проблемы 2000 года). А в 2016-ом году устав отвечать на баг-репорты по устаревшему пакету, просто пропатчил этот пакет таким образом, чтобы ответ на однотипный багрепорт выводился прямо на экране пользователя на лок-скрине.

javascript
() автор топика
Последнее исправление: javascript (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.