Саботаж в open source

us_retired — 19.03.2022 Ну вот и первый случай софтверного саботажа в supply chain, направленный на Россию и Беларусь.



Народ активно пользует бесплатные библиотеки с npmjs. А одна библиотека часто тянет за собой другие, иногда десятки, а те, в свою очередь, еще. И вы точно знаете, что во всех этих сотнях тысяч строк кода все чисто?

Достаточно популярная библиотека node-ipс пользует другой модуль - vuejs, у которого миллион загрузок в неделю.

Так вот, в эту библиотеку вписали скрытый код, который, если ваша машина находится в России или Беларуси, тупо стирает на диске все файлы. Код скрыт в строчках base64

+      const n2 = Buffer.from("Li8=", "base64");
+      const o2 = Buffer.from("Li4v", "base64");
+      const r = Buffer.from("Li4vLi4v", "base64");
+      const f = Buffer.from("Lw==", "base64");
+      const c = Buffer.from("Y291bnRyeV9uYW1l", "base64");
+      const e = Buffer.from("cnVzc2lh", "base64");
+      const i = Buffer.from("YmVsYXJ1cw==", "base64");

Потом это все соединяется воедино и стравливается на исполнение.

Закладка, конечно, глупая, ибо сотрет файлы и другу и врагу. Например, снесет данные на лаптопе журналиста, который вовсе не имеет отношения к власти.

Но факт есть факт. Вряд ли это последний раз, и в будущем народ будет закладывать хитрее.

Оставить комментарий

Популярные посты:

• Ранее
• Архив