Populaire JavaScript library verwijderde data van Russische computers
De maker van de populaire JavaScript library node-ipc heeft zijn code voorzien van een kwetsbaarheid waarmee data van computers in Rusland en Belarus (Wit-Rusland) verwijderd worden. De ontwikkelaar deed dit naar eigen zeggen als protest tegen de oorlog in Oekraïne. De malafide code is na klachten van gebruikers weer verwijderd met een nieuwe update van de library, maar nieuwe versies van node-ipc bevatten nu een protestbericht.
© CC0/Pixabay License
CC0/Pixabay License
De library node-ipc wordt omschreven als een communicatiemodel voor nodes die Unix sockets, TCP, TLS en UDP ondersteunen. De library is onderdeel van het populaire framework vue.js en wordt zo'n miljoen keer per week opgehaald uit de NPM registry, schrijft The Register.
De kwetsbaarheid - gevolgd onder CVE-2022-23812 - werd bewust toegevoegd door maker Brandon Nozaki Miller, op GitHub ook bekend als RIAEvangelist. De code zit in versies 10.1.1 en 10.1.2 van de library, die op 7 en 8 maart verschenen, en zorgt ervoor dat bestanden op een getroffen machine overgeschreven worden met een symbool van een hartje.
Om ervoor te zorgen dat de juiste systemen geraakt worden, kijkt de code naar de geolocatie van het IP-adres van de gebruiker. IP-adressen in Belarus en Rusland worden geraakt, die daarbuiten niet.
Protestbericht in versie 11 en 9.2.2.
Diverse mensen hebben geklaagd over de acties van Miller en noemen de kwetsbaarheid 'protestware' of 'malware'. Inmiddels is versie 10.1.3 van node-ipc verschenen, waar het probleem niet in zit. Versies 10.1.1 en 10.1.2 zijn uit de NPM registry verwijderd, zodat mensen en systemen deze niet meer per ongeluk kunnen downloaden. Hoeveel mensen dat wel hebben gedaan, is onduidelijk.
In de tussentijd heeft Miller wel weer een nieuwe versie van node-ipc gemaakt, waarin een package genaamd 'peacenotwar' zit. Deze package verwijdert geen data, maar maakt bestanden genaamd 'WITH-LOVE-FROM-AMERICA.txt' aan op de desktop en in OneDrive-mappen. In dat bestand stopte Miller het bericht: "Oorlog is niet het antwoord, hoe erg de situatie ook is." Bij sommige gebruikers bleek het bestand echter leeg te zijn.
Dit nieuwe protest zit specifiek in versie 11 en 9.2.2 van node-ipc. De NPM registry heeft versie 9.2.2. al wel verwijderd, al bestaat de kans wel dat deze versie automatisch op sommige systemen terecht is gekomen. 9.x wordt als een stabiele branch gezien, wat betekent dat systemen deze mogelijk automatisch hebben gedownload. Vue-ontwikkelaars kunnen de txt-bestanden dus mogelijk zien verschijnen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee