Текст ниже прислали друзья. Еще раз передаю привет всем любителям открытых архитектур микропроцессоров! Ведь он такой открытый!
у коллег-фронтендеров стала падать сборка. Оказалось:
«
Коллеги, обращаем внимание, что популярная библиотека https://www.npmjs.com/package/es5-ext которая не обновлялась до этого 2 года начала получать регулярные обновления которые содержат как негативную пропаганду, так и код по таймзоне увеличивающий утилизацию ресурсов
Смотреть файл - _postinstall.js
»
И сам тред с праведным гневом столкнувшихся с проблемой разработчиков из России:
https://github.com/medikoo/es5-ext/commit/28de285ed433b45113f01e4ce7c74e9a356b2af2
Так что опенсорс похоже «все» - собираешь какое-нибудь ядро Линукс, думаешь - там гуру, баги не пройдут, а у тебя уже код руткит на сборщике сделал и сетку доламывает))"
И в продолжение темы про open source, чтобы уже совсем закрыть тему на сегодня. В популярную библиотеку добавили вредоносный код, который направлен против пользователей в России и Беларуси и удаляет все файлы, до которых может добраться
https://github.com/vuejs/vue-cli/issues/7054
Комментарии
Бесплатный сыр,,,,,,
В УК РФ есть статья за написание вредоносного кода. Выяснить не сложно кто этот код написал. Останется только отловить и наказать. С большой вероятностью личность можно будет задержать в 404 при проверке документов.
https://github.com/medikoo
в конце концов, народа много, кто-нибудь да найдёт автора.
Соответственно, нужен стоплист из таких перцев. Если участвовал в правках - принимать после анализа/проверки
Под другим аккаунтом зайдет и продолжит гадить.
P.S. Всегда смешно было, как упоротые хабра-хомячки визжат про благословенный опенсорс, который спасет их от ненавистной слежки со стороны ненавистной России или со стороны благословенной США (которая, как известно, ни за кем не следит).
Тем нельзя просто "гадить". У проекта есть, условно, ведущий или команда, который(ая) принимает решение о включении кода в основную ветку. Т.е. свои наработки может отправить кто угодно, но для того, что бы они попали в релиз (свежая версия) они должны быть проверены и приняты.
Т.е. "ведущий или команда", это исключительно друзья России, и всякую гадость они не пропустят? Проверят, и отвергнут с негодованием?
Разумеется нет. Я про то, что не важно с какого аккаунта ты будешь отправлять свой код в проект, со старого или с нового. То, что попадает в релиз, попадает туда с одобрения отвечающего за проверку присланного кода и сборку новой версии.
Дык это не первый случай с Линуксом , ЕМНИП КивиБёрд писал про подобное (это только что помню).
Ну и не надо забывать что АНБ/ЦРУ тоже в курсе как использовать терморектальный криптоанализатор и вовсю им пользуются. (
Это кагбе понятно. Что делать-то, если "отвечающий за проверку присланного кода и сборку новой версии" - русофоб? Ответ, ничего. А то, что среди этих "проверяющих" таких окажется много, это понятно.
Под названием шарага, отлавливать, судить, полгода на лесоповале, потом предложить исправить ущерб ударным программистским трудом.
В УК РФ Статья 273 есть фраза "заведомо предназначенных для НЕСАНКЦИОНИРОВАННОГО"
Открытый код - открыт, ничего скрытого там нет. Читай и используй на свой страх и риск.
В общем теперь надо все обновления после 23.02 парсить на содержание ключевых слов и вообще надо развивать свою ветку линукс на территории РФ со своими репозиториями финансируемого госсударством.
Вредоносный код может быть зашифрован/обфусцирован
Этот фрагмент кода
разворачивается в это
в исходном тексте слова russia, belarus - не видны, поскольку обфусцированы.
То есть на каком-то шаге он все же конвертируется в проверяемый.
нет.
раскрытие на этапе выполнения.
На такой код ругается, например, касперский.
Что мешает его не обновлять, если такое встречается?
скачайте, запустите попробуйте. Удалив, конечно строки с деструктивным поведением.
Заодно расскажите.
Вы удивительный и невероятно проницательный человек, если можете видеть результат выполнения кода до его запуска. Предположу, что в индустрии разработчиков вам нет цены, поскольку способность предвидеть избавляет от необходимости отладки
Там десятки (сотни) тысяч строк и сотни авторов кода.
Рассказываю. Сайт на joomla. Была неприятность и вирус. Пропустил через касперского. Получил и куски php кода подозрительные и прочие бекдоры.
Все было зарезано. Сайт нормально, после этого работал. А там чего только не было, и голосовалка и рассылка и форум и ЛК.
Бывают истории успешные. А бывают и нет.
Кто же спорит то? Но опять же, кто мешает установить на стенд обновления и пропустить через касперского?
> разворачивается в это
> const e = "russia";
> const i = "belarus"
- это уже исполняемый ?
Это результат деобфускации. Он выполняется при вызове функции.
В исходном коде этих строк в указанном виде нет.
То есть деобфускация - проверка - компиляция.
Понимаете ли, обфускацию нашли люди. Пока не попали на проблему (код стирает файлы в ряде каталогов), не локализовали источник сбоя и не нашли вредоносный фрагмент.
Узнать, нет ли там вредоносных вставок, до запуска практически невозможно. Тем более, что проблема организована по геолокации по IP станции только в России и Беларуси. В прочих странах этот фрагмент не активен, и его просто никто не будет искать.
Этот код может быть использован в сотнях продуктов разных компаний, как фрагмент публичной библиотеки. В огромном числе случаев он будет вставлен автоматически, когда команда разработчиков решит взять более свежие версии библиотек, например - ожидая что в них будут исправлены ошибки, расширен функционал и устранены уязвимости. В каждом проекте таких библиотек сотни и более, и обновляются они на доверии.
У волка - тысяча дорог, у охотника только одна.
Единственный вариант, имхо - создание блэклиста разработчиков, вставляющих вредононсный код в публичные проекты.
Я бы даже сказал больше, если у публичного кода есть авторы из ряда стран, то имеет смысл проводить расширенное тестирование, исходя из возможных конфликтов. Но это не является гарантией, сдуревший программёр может писать с Багам, иметь индийскую фамилию и стремиться нанести вред Новой Зеландии. Не угадаешь.
Единственный вариант, это вставлять такие же куски кода, только с геолокациями "USA", "GB", "Ukraine" и т.п. Чтобы прилетало всем и весь этот бардак с якобы бесплатным и непроприетарным ПО был похоронен в умах как можно скорее.
Не может быть в конкурирующих экономических зонах никакого "свободного" ПО, и уж тем более из другой зоны. Потому что оно тоже будет оружием, и как бы и не сравнимой с "Калибрами" и "Томагавками" мощности.
у вас бред написан.
ибо тут всё просто - код ходит на указанный в комменте URL 9в base64 именно он:
base64 -d
aHR0cHM6Ly9hcGkuaXBnZW9sb2NhdGlvbi5pby9pcGdlbz9hcGlLZXk9YWU1MTFlMTYyNzgyNGE5NjhhYWFhNzU4YTUzMDkxNTQ=
https://api.ipgeolocation.io/ipgeo?apiKey=ae511e1627824a968aaaa758a53091...
и получает данные о посетителе через JSON
т.е. просто надо проверять какое амно ты себе ставишь прежде чем его в прод пускать.
причём существа развлекались этим и раньше - попадались "весёлые" rpm где на iаге install выполнялся "пач Бармина".
...сижу, никого не трогаю, обновляю драйвера GeForce :)
Пожалуй стоит нашкорябать статью на хабре по этому поводу, теперь пусть на виртуалке проверяют каждую обнову которую тянут.
всё там есть, только они в иной кодировке. но это довольно легко исправить поисками по base64 а если надо на поток - то можно сделать поисковик по популярным кодировкам.
ну и в довесок - используйте стронние системы защиты и не торопитесь обновляться. я до сих пор на вин7 сижу с убитыми обновлялками , всё работает только браузеры иногда приходится обновлять..Тут правило простое качаешь свежак , полную установку, а не 1 мб обновляльщик (приходится поискать) откладываешь на месяц через месяц читаешь отзывы форумы о проблемах и или устанавливаешь или стираешь
он уже проверяемый , просто кодировка басе64
обфускация это другое
Ну это само собой. На войне как на войне, будет не просто.
Ни один нормальный ментейнер такой подозрительный пулл реквест не заапрувит не проверив что же там под этим base64. То что такой код попал в продакшн означает, что ментейнер библиотеки в деле.
я же говорю - всё работает на доверии. Вы пользуетесь библиотекой, доверяете её мейнтейнеру. А то, что он ненавидит пингвинов в Антарктиде, узнаете когда у вас в путешествии продукты внезапно стухнут.
А до того всё будет мягким, пушистым и шелковистым.
А base64 может собираться из кусков и иметь фрагменты под замену перед декодированием. Так что не всё так прямолинейно
Ну, я не знаю как там принято у джаваскриптеров, но я в принципе не пропущу пуллреквест если непонятно, что он делает. Иначе какой смысл в этой проверке? Конечно, даже при таком строгом подходе можно подсунуть какую-либо каку, но это сделать куда сложнее, особенно если нужен не просто рандомный баг, а конкретное сложное поведение.
Вот в ядро успешно втыкали: https://www.linux.org.ru/news/kernel/16279331
И в результате "было принято решение больше никогда не принимать патчи от людей из этого заведения.". То есть, фактически, признали, что нормальную проверку патчей сделать нельзя.
Лор всегда был желтоват, мягко говоря. На опеннете лучше история изложена. И, да:
Не то, чтобы это было невозможно в принципе, но именно в ядре Линукса один из самых хорошо организованных процессов разработки, так что туда такое протолкнуть сложнее, чем в какую-нибудь ноунэйм библиотеку.
+100500
немного не тот термин.
Обсфукация кода - это трудночитаемость, когда перед компиляцией его автозаменой превращают из
"ПеременнаяСНормальнымИменем" в "100500подчеркиванийТрампарамБелиберда".
Это для того чтобы тот кто попробует декомпилировать изматерился.
А это просто кодирование base64, которое позволяет превратить любой бинарный файл в текст.
Можете ТоталКоммандером расшифровать эту строку.
Android тоже, кстати, open source. Эта статья позволяет смотреть широко, в частноcти, любителям ставить обновления на телефоны, PC...
Не устанем пыль глотать, привлекать по нашему УК – Google, Microsoft... Не?
Делайте свой гитхаб, с преферансом и курсистками.
-- Делают!
В России запущен аналог GitHub и GitLab для хранения кода и работы с ним
Молодцы, вот только кто туда загонит разработчиков со всего мира? А github - это именно про коллективную работу авторов всего мира. И opensource именно про это.
Так-то такой "аналог" может любой человек поднять хоть в интернете, хоть у себя в локальной сети на основе бесплатного git. Да интерфейс сначала будет попроще, но лиха беда начала.
А вам обязательно нужны гадящие вам "разработчики со всего мира"? Мало дерьма в реале оттуда льется, давайте еще в информатике его жрать добровольно?
Да, мне обязательно нужны "разработчики со всего мира". Потому что именно благодаря "разработчикам со всего мира" вы сейчас тут пишете чушь. Если бы не "разработчики со всего мира", то не известно появился бы вообще этот сайт в том виде в каком он существует. Потому что, вы не поверите, он работает не на отечественном ПО, а на ПО разработанном "разработчиками со всего мира". Даже редактор текста, которым мы тут с вами пользуемся - это результат работы "разработчиков со всего мира" https://github.com/ckeditor/ckeditor5
Вы вообще не представляете, видимо, степень взаимопроникновения стран в мире IT.
А вот как отсеивать гадящих от негадящих - это проблема.
Ну это известная проблема
Читал, в америке настроили нейронную сетку, что бы она подсказывала полицейским, кто имеет большую склонность к правонарушениям.
Внезапно оказалось, что сетка выбирала, в основном, негров. Пришлось программистам дополнительные штрафные баллы на белых вешать, что бы избежать обвинения в расизме
Это просто дорого и хлопотно. Ибо есть гадящие, есть маньяки, есть банальные ошибки. И все эти ошибки и целенаправленные изменения в коде надо вылавливать.
С этой точки зрения ошибка архитектора некоей программы куда более трудно обнаружима и без полного переписывания всего проекта может оказаться неустранимой.
Чушь пишете вы. Потому что много пафоса в первом абзаце, а последним предложением вы весь этот пафос обнулили и перечеркнули все ваши сентенции.
Потому что не будет больше никаких "разработчиков со всего мира". С этими розовыми соплями, что в интернете, видите ли, нет границ, (давно было) пора заканчивать. Границы и были, и есть, и тем более будут. Нет никакой гарантии, да что там, наоборот, есть гарантии, что все "разработчики со всего мира" будут под плотным "колпаком у Мюллера", хоть якобы "опенсорс" они там пилят, хоть проприетарщину. И будут ОБЯЗАНЫ встраивать в код закладки против "недружественных" государств. Точно так же, как всё высокотехнологичное оружие обязано быть снабжено системами различения "свой/чужой", в том числе и скрытыми, чтобы его в принципе нельзя было использовать против той страны, которая его разработала. Я совсем не эксперт в оружии, но если в нем таких систем и закладок нет... Ну это, мягко говоря, просто странно было бы и очень надеюсь, что такого не допускают.
Придется "окончательно размежеваться", как говорил В.И.Ленин...
Новость хорошая. Особенно вот это "порадовало": "Для дополнительной защиты аккаунта можно подключить 2FA авторизацию от Google."
А прикручивать то надо было авторизацию "от госуслуг" :).
-- Это было создано пару лет назад. Сейчас наверняка поменяют...
Пару лет назад создали? А завершили бета-тестирование в прошлом декабре? Вот это я понимаю - люди никуда не торопятся. Лет через триста допилят основной функционал?
Страницы