ΑρχικήsecurityDev καταστρέφει «colors» και «faker» NPM libs και χιλιάδες apps σπάνε

Dev καταστρέφει «colors» και «faker» NPM libs και χιλιάδες apps σπάνε

Οι χρήστες δημοφιλών βιβλιοθηκών ανοιχτού κώδικα «colors» και «faker» έμειναν έκπληκτοι αφού είδαν τις εφαρμογές (apps) τους, χρησιμοποιώντας αυτές τις βιβλιοθήκες, να εκτυπώνουν ασυνήθιστα δεδομένα και να σπάνε.

colors faker

Δείτε επίσης: Το NPM εντόπισε και διόρθωσε πολλά ελαττώματα ασφαλείας

Κάποιοι υπέθεσαν ότι οι βιβλιοθήκες NPM είχαν παραβιαστεί, αλλά αποδεικνύεται ότι όλο αυτό αποτελεί μια πολύ μεγάλη ιστορία.

Ο προγραμματιστής αυτών των βιβλιοθηκών εισήγαγε σκόπιμα έναν άπειρο loop που δημιούργησε θέμα σε χιλιάδες projects που εξαρτώνται από τα libs «colors» και τα «faker».

Η βιβλιοθήκη colors λαμβάνει πάνω από 20 εκατομμύρια εβδομαδιαίες λήψεις μόνο στο npm και έχει σχεδόν 19.000 projects που βασίζονται σε αυτήν. Ενώ, το faker λαμβάνει πάνω από 2,8 εκατομμύρια εβδομαδιαίες λήψεις στο npm και έχει πάνω από 2.500 dependents.

Επανάσταση ανοιχτού κώδικα;

Ο προγραμματιστής πίσω από τις δημοφιλείς βιβλιοθήκες ανοιχτού κώδικα NPM «colors» (γνωστές και ως Colors.js στο GitHub) και «faker» (γνωστός και ως «faker.js» στο GitHub) εισήγαγε σκόπιμα άτακτα commit σε αυτά που επηρεάζουν χιλιάδες εφαρμογές που βασίζονται σε αυτές τις βιβλιοθήκες.

Δείτε επίσης: Το GitHub βρίσκει 7 ευπάθειες εκτέλεσης κώδικα στα ‘tar’ και npm CLI

Χθες, οι χρήστες δημοφιλών έργων ανοιχτού κώδικα, όπως το Cloud Development Kit της Amazon (aws-cdk) έμειναν έκπληκτοι βλέποντας τις εφαρμογές τους να εκτυπώνουν ανόητα μηνύματα στην κονσόλα τους.

Αυτά τα μηνύματα περιελάμβαναν το κείμενο “LIBERTY LIBERTY LIBERTY” ακολουθούμενο από μια ακολουθία χαρακτήρων που δεν ήταν ASCII:

colors faker

Αρχικά, οι χρήστες υποψιάστηκαν ότι οι βιβλιοθήκες ‘colors’ και ‘faker’ που χρησιμοποιήθηκαν από αυτά τα projects είχαν παραβιαστεί, αφού έμοιαζαν με τον τρόπο με τον οποίο οι βιβλιοθήκες coa, rc και ua-parser-js παραβιάστηκαν πέρυσι από κακόβουλους παράγοντες.

Αλλά, στην πραγματικότητα, ήταν ο προγραμματιστής πίσω από τα colors και faker στα οποία φαίνεται να έκανε commit σκόπιμα τον κώδικα που ευθύνεται για το major blunder.

Ο προγραμματιστής, ονόματι Marak Squires, πρόσθεσε ένα “νέο module αμερικανικής σημαίας” στη βιβλιοθήκη του color.js χθες στην έκδοση v1.4.44-liberty-2 την οποία στη συνέχεια ώθησε στο GitHub και στο npm.

Το συνεχές loop που εισάγεται στον κώδικα θα συνεχίσει να λειτουργεί επ’ αόριστον εκτυπώνοντας ατελείωτα την ασυνήθιστη ακολουθία χαρακτήρων που δεν είναι ASCII στην κονσόλα για οποιεσδήποτε εφαρμογές χρησιμοποιούν “colors”.

Δείτε επίσης: Χρησιμοποιείτε αρχεία PAC; Προσοχή στο σφάλμα του πακέτου NPM

Ομοίως, μια υπονομευμένη έκδοση ‘6.6.6’ του faker δημοσιεύτηκε στο GitHub και στο npm.

Ο λόγος πίσω από αυτό το κακό από την πλευρά του προγραμματιστή φαίνεται να είναι αντίποινα εναντίον μεγάλων εταιρειών και εμπορικών καταναλωτών έργων ανοιχτού κώδικα που βασίζονται σε μεγάλο βαθμό σε δωρεάν software και software που υποστηρίζεται από την κοινότητα, αλλά δεν, σύμφωνα με τον προγραμματιστή, επιστρέφουν τίποτα στην κοινότητα.

Τον Νοέμβριο του 2020, ο Marak είχε προειδοποιήσει ότι δεν θα υποστηρίζει πλέον τις μεγάλες εταιρείες με τη «δωρεάν δουλειά» του και ότι οι εμπορικές οντότητες θα πρέπει να εξετάσουν το ενδεχόμενο είτε να διαχωρίσουν τα projects είτε να αποζημιώσουν τον προγραμματιστή με έναν ετήσιο «εξαψήφιο» μισθό.

Η τολμηρή κίνηση του Marak άνοιξε ένα κουτάκι με worms και προσέλκυσε μικτές αντιδράσεις.

Ορισμένα μέλη της κοινότητας λογισμικού ανοιχτού κώδικα επαίνεσαν τις ενέργειες του προγραμματιστή, ενώ άλλα είναι τρομοκρατημένα από αυτό.

Το GitHub φέρεται να έχει αναστείλει τον λογαριασμό του προγραμματιστή. Βέβαια και αυτό έχει προκαλέσει ανάμικτες αντιδράσεις.

Εν τω μεταξύ, οι χρήστες έργων «colors» και «faker» NPM θα πρέπει να διασφαλίζουν ότι δεν χρησιμοποιούν μια επισφαλή έκδοση. Η υποβάθμιση σε παλαιότερη έκδοση color (π.χ. 1.4.0) και faker (π.χ. 5.5.3) είναι μια λύση.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS