Avez-vous entendu parler des logiciels de protestation? Les chercheurs ont suivi les soi-disant projets de logiciels de protestation sur GitHub avec un code récemment ajouté qui affiche les messages "Stand with Ukraine". Les mêmes chercheurs suivent également plusieurs packages de code, récemment modifié pour supprimer des fichiers sur des ordinateurs qui proviennent très probablement d'adresses Internet russes ou biélorusses.
Projets Protestware sur GitHub
Cet effort partagé des chercheurs est externalisé via Telegram, dit expert en sécurité Brian Krebs. Cependant, la « production du groupe de recherche russe est centralisée dans une feuille de calcul Google ouverte au public ». La majorité des référentiels GitHub suivis incluent des composants relativement inoffensifs, tels que des messages montrant un soutien à l'Ukraine, et des statistiques sur la guerre avec des liens vers plus d'informations sur le Deep Web.
Bien sûr, il y a "d'autres exemples préoccupants,” comme la page du populaire réseau JavaScript vue-cli, qui contient désormais un nouveau composant conçu pour effacer tous les fichiers de tout système visitant depuis une adresse IP russe ou biélorusse.
D'après Alex Holden, un Ukrainien d'origine derrière la société de cyber-renseignement Hold Security basée à Milwaukee, le vrai problème, c'est quand le protestware est inclus dans des packages de code qui sont automatiquement récupérés par de nombreux produits logiciels tiers. Le chercheur a partagé que certains des projets de code suivis par le groupe de recherche russe sont maintenus par des développeurs de logiciels ukrainiens..
La confiance dans les projets open-source a maintenant disparu
D'autres disent que la boîte de Pandore est maintenant ouverte, et la confiance dans les projets open source est maintenant complètement détruite. Comme l'a souligné l'utilisateur GitHub nm17, maintenant, tout le monde se rend compte que "leur bibliothèque/application peut éventuellement être exploitée pour faire/dire tout ce qu'un développeur au hasard sur Internet pensait" était la bonne chose à faire ". Pas un seul bien n'est sorti de cette "manifestation".
Histoires liées:
La Russie émet sa propre autorité de certification TLS
Un autre essuie-glace destructeur visant l'Ukraine
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: