Popüler açık kaynak kitaplıkların ‘renkleri’ ve ‘sahteci’ kullanıcıları, uygulamalarını gördükten sonra, bu kitaplıkları kullanarak, anlamsız veriler yazdırdıktan ve kırıldıktan sonra şaşkına döndüler.
Bazıları NPM kitaplıklarının güvenliğinin ihlal edilip edilmediğini tahmin etti, ancak görünüşe göre hikayede çok daha fazlası var.
Bu kitaplıkların geliştiricisi, kasıtlı olarak tuğla oluşturan sonsuz bir döngü başlattı. binlerce proje bu ‘renklere ve ‘sahte’ye bağlıdır.
bu renkler kütüphane alır 20 milyon haftalık indirme yalnızca npm’de ve buna bağlı olarak yaklaşık 19.000 projeye sahip. Halbuki, ‘sahtekar‘ npm’de haftalık 2,8 milyondan fazla indirme alıyor ve 2,500’den fazla bağımlısı var.
Açık Kaynak Devrimi?
Popüler açık kaynaklı NPM kitaplıklarının ‘renklerinin’ arkasındaki geliştirici (diğer adıyla color.js on GitHub) ve ‘sahte’ (diğer adıyla ‘faker.js’ GitHub) kasıtlı olarak bu kitaplıklara dayanan binlerce uygulamayı etkileyen yaramaz taahhütler getirdi.
Dün, popüler açık kaynak projelerinin kullanıcıları, örneğin Amazon’un Bulut Geliştirme Kiti (aws-cdk), uygulamalarının konsollarında anlamsız mesajlar yazdırdığını görünce hayrete düştü.
Bu mesajlar, ‘LIBERTY LIBERTY LIBERTY’ metnini ve ardından bir dizi ASCII olmayan karakter içeriyordu:
Başlangıçta, kullanıcılar bu projeler tarafından kullanılan ‘renkler’ ve ‘sahte’ kitaplıklarının güvenliğinin ihlal edildiğinden şüpheleniyorlardı. [1, 2, 3], nasıl benzer koa, rc, ve ua-ayrıştırıcı-jkütüphaneleri geçen yıl kötü niyetli aktörler tarafından ele geçirildi.
Ama aslında, arkasındaki geliştiriciydi renkler ve sahtekar kasıtlı olarak görünen bağlılık BleepingComputer tarafından görüldüğü gibi, büyük gaftan sorumlu kod.
‘Marak’ adını kullanan geliştirici, “yeni bir Amerikan bayrağı modülü” ekledi. renkler.js sürümde dün kitaplık v1.4.44-özgürlük-2 o zaman onlar GitHub’a aktarıldı ve npm.
bu sonsuz döngü kodda tanıtılan, süresiz olarak çalışmaya devam edecektir; ‘renkler’ kullanan herhangi bir uygulama için konsolda anlamsız ASCII olmayan karakter dizisini sonsuz olarak yazdırma.
Aynı şekilde, sabote edilmiş bir ‘6.6.6’ versiyonu sahtekar yayınlandı GitHub ve npm.
“v1.4.44-liberty-2 renk sürümünde bir zalgo hatası olduğu dikkatimizi çekti” alay Geliştirici.
“Lütfen şu anda durumu düzeltmek için çalıştığımızı ve kısa süre içinde bir çözüme ulaşacağımızı bilin.”
Zalgo metni glitchy görünen belirli ASCII olmayan karakterleri ifade eder.
Geliştirici tarafındaki bu yaramazlığın nedeni misilleme gibi görünüyor – büyük ölçüde ücretsiz ve topluluk destekli yazılımlara güvenen, ancak geliştiriciye göre geri vermeyen mega şirketlere ve açık kaynaklı projelerin ticari tüketicilerine karşı misilleme. topluluk.
Kasım 2020’de Marak, artık büyük şirketleri “ücretsiz çalışmaları” ile desteklemeyecekleri ve ticari kuruluşların ya projeleri çatallamayı ya da geliştiriciyi yıllık “altı rakam” maaşla tazmin etmeyi düşünmeleri gerektiği konusunda uyarmıştı.
Geliştirici daha önce “Saygılarımla, artık Fortune 500’leri (ve diğer küçük ölçekli şirketleri) ücretsiz çalışmamla desteklemeyeceğim. Söyleyecek fazla bir şey yok” dedi. yazdı.
“Bunu bana altı rakamlı bir yıllık sözleşme göndermek veya projeyi çatallamak ve üzerinde başka birinin çalışmasını sağlamak için bir fırsat olarak kabul edin.
İlginç bir şekilde, bugün itibariyle BleepingComputer, BENİ OKU ‘sahte’ GitHub deposu için sayfa da geliştirici tarafından referans yapmak için değiştirildi harun swartz “Aaron Swartz’a gerçekten ne oldu?”
Swartz, JSTOR ile yasal bir savaşın ardından, Amerikalı bir programcı, girişimci ve ünlü bir bilgisayar korsanıydı. intihar etti.
Bilgiyi herkes için özgürce erişilebilir kılmak amacıyla bilgisayar korsanı, iddiaya göre JSTOR tarafından yerleştirilen teknolojik blokları aşmak için IP ve MAC adresini tekrar tekrar döndürerek MIT kampüs ağında bulunan JSTOR veri tabanından milyonlarca dergi makalesi indirdi. MİT.
Bunu yapma sürecinde Swartz, Bilgisayar Sahtekarlığı ve Kötüye Kullanımı Yasası’na aykırı davranmış olabilir ve suçlu bulunması halinde otuz beş yıla kadar hapis cezasıyla cezai suçlamalarla karşı karşıya kalabilir.
Tekinsiz solucan kutusu?
Marak’ın cesur hareketi bir kutu solucan açtı ve karışık tepkiler çekti.
Açık kaynaklı yazılım topluluğunun bazı üyeleri, geliştiricinin eylemlerini överken, diğerleri bundan dehşete düştü.
“Görünüşe göre ‘colors.js’nin yazarı ödeme yapılmadığı için kızgın… Bu yüzden kütüphanesi her yüklendiğinde Amerikan bayrağını basmaya karar verdi… WTF,” tweetlendi bir kullanıcı.
Bazı dublajlı bu, “başka bir OSS geliştiricisinin haydut olmaya devam ettiğinin” bir örneğidir, oysa InfoSec uzmanı VessOnSecurity eylem denir”sorumsuz,” belirterek:
“Ücretsiz kodunuzu ücretsiz olarak kullanmakla ilgili iş sorunları yaşıyorsanız, ücretsiz kod yayınlamayın. Kendi yaygın olarak kullanılan şeylerinizi sabote ederek, yalnızca büyük işletmelere değil, onu kullanan herkese zarar verirsiniz. Bu, insanları “coz şeyler” güncellememesi için eğitir. kırılabilir.”
GitHub’ın geliştiricinin hesabını askıya aldığı bildirildi. Ve bu da karışık tepkilere neden oldu:
NPM, faker.js paketinin önceki bir sürümüne geri döndü ve Github, tüm genel ve özel projelere erişimimi askıya aldı. 100’lerce projem var. #AaronSwartz pic.twitter.com/zFddwn631S
— parlaklık (aliparlakci) 6 Ocak 2022
“Kendi kodunuzu kaldırma [GitHub] Hizmet Şartlarını ihlal ediyor mu? O NE LAN? Bu bir adam kaçırma. Özgür yazılım kaynak kodunun barındırılmasını merkezsizleştirmeye başlamamız gerekiyor.” yanıtladı yazılım mühendisi Sergio Gómez.
“Asla ne olduğunu bilmiyorum ama sırf böyle şeyler başıma geliyor diye tüm projelerimi GitLab özel örneğinde barındırıyorum. Asla hiçbir internet servis sağlayıcısına güvenmeyin.” tweetlendi bir diğeri.
“Marak sahtekarlara ve renklere yedirdi, tonlarca projeyi tuğlaladı ve hiçbir şey olmasını beklemiyor muydu?” belirtilmiş Piero adında bir geliştirici.
Dikkat edin, Marak’ın şaşırtıcı hareketi son zamanlardaki gelişmeleri takip ediyor. İnterneti ateşe veren Log4j fiyaskosu.
Açık kaynak kitaplığı Log4j, şirketler ve ticari kuruluşlar tarafından geliştirilenler de dahil olmak üzere çok çeşitli Java uygulamalarında yaygın olarak kullanılmaktadır.
Ancak, Log4shell güvenlik açığının toplu olarak sömürülmesinden kısa bir süre sonra, açık kaynak kitaplığının koruyucuları, tatillerde projeye yama yapmak için tazminat ödemeden çalıştı. giderek daha fazla CVE keşfediliyordu.
Büyük işletmelerin ne kadar alıştığına dair endişeler “sömürmek“Açık kaynak; sürekli tüketerek, ancak boş zamanlarından vazgeçerek bu kritik projeleri sürdüren ücretsiz gönüllülere destek olacak kadar geri vermeyerek.
Bazıları ayrıca, halihazırda “hafifletme önlemleri; düzeltmeler, dokümanlar, CVE, sorulara yanıtlar vb. üzerinde uykusuz çalışan” Log4j bakımcılarını kovalayan netizenleri ve hata ödül avcılarını da eleştirdi. [1, 2, 3].
“Colors.js/faker.js yazarının kendi paketlerini sabote etmesine verilen yanıtlar, gerçekten kaç tane kurumsal geliştiricinin, hiçbir geri katkıda bulunmadan açık kaynak geliştiricilerin ücretsiz emeğine ahlaki olarak hakları olduğunu düşündüklerini anlatıyor.” yazdı bir Twitter kullanıcısı.
Açık kaynak kodlu yazılımın geleceğinin nelere yol açacağını zaman gösterecek. OSS sürdürülebilirlik sorunu.
Bu arada, ‘renkler’ ve ‘sahte’ NPM projelerinin kullanıcıları, güvenli olmayan bir sürüm kullanmadıklarından emin olmalıdır. Renklerin (örn. 1.4.0) ve faker’in (örn. 5.5.3) daha eski bir sürümüne geçmek bir çözümdür.
Güncelleme 10:08 AM ET: Yayınlandıktan sonra @VessOnSecurity’den tweet eklendi.