抗議ウェアについて聞いたことがありますか? 研究者は、「StandwithUkraine」メッセージを表示する最近追加されたコードを使用してGitHub全体でいわゆるプロテストウェアプロジェクトを追跡しています. 同じ研究者がいくつかのコードパッケージも追跡しています, 最近、ロシアまたはベラルーシのインターネットアドレスに由来する可能性が最も高いコンピューター上のファイルを削除するように変更されました.
GitHubのProtestwareプロジェクト
この共有された研究者の努力は、Telegramを介してクラウドソーシングされています, 言う セキュリティの専門家ブライアンクレブス. でも, 「ロシアの研究グループの成果は、一般に公開されているGoogleスプレッドシートに一元化されています。」追跡されるGitHubリポジトリの大部分には、比較的無害なコンポーネントが含まれています, ウクライナへの支援を示すメッセージなど, 深層ウェブ上の詳細情報へのリンクを含む戦争に関する統計.
もちろん, 「より多くの例について,」など、人気のあるJavaScriptネットワークvue-cliのページ, これには、ロシアまたはベラルーシのIPアドレスからアクセスするシステムからすべてのファイルをワイプするように設計された新しいコンポーネントが含まれています。.
アレックスホールデンによると, ミルウォーキーに本拠を置くサイバーインテリジェンス会社HoldSecurityの背後にいるネイティブウクライナ人, 本当の問題は、プロテストウェアが多くのサードパーティソフトウェア製品によって自動的にフェッチされるコードパッケージに含まれている場合です。. 研究者は、ロシアの研究グループによって追跡されたコードプロジェクトのいくつかがウクライナのソフトウェア開発者によって維持されていることを共有しました.
オープンソースプロジェクトへの信頼は今やなくなっています
他の人はパンドラの箱が今開かれていると言います, オープンソースプロジェクトへの信頼は完全に破壊されました. GitHubユーザーnm17が指摘したように, 今では誰もが、「彼らのライブラリ/アプリケーションは、インターネット上のランダムな開発者が「彼らが行うのが正しいことだ」と思ったことを実行/発言するために悪用される可能性があることに気づいています。この「抗議」からは、良いものは1つも出てこなかった。」
関連記事:
ロシアが独自のTLS認証局を発行
ウクライナを標的とする別の破壊的なワイパー