Бесплатно Экспресс-аудит сайта:

20.03.2022

Разработчик node-ipc подвергся жесткому преследованию

Разработчик столкнулся с негативной реакцией общества после того, как его обвинили в попытке неизбирательного распространения вредоносного ПО на российские IP-адреса через популярный пакет с открытым исходным кодом.

Брэндон Нодзаки-Миллер опроверг обвинения в том, что его код уничтожил жесткие диски пользователей в России и Беларуси, несмотря на подробный онлайн-анализ кода сторонними экспертами.

Миллер разрабатывает «node-ipc» - модуль межпроцессного взаимодействия для систем Linux , Mac и Windows. По данным GitHub , пакетом пользуются почти 761 000 человек.

После анализа кода 7 марта этого года компания Snyk, занимающаяся безопасностью программного обеспечения, пришла к выводу, что в node-ipc был встроен вредоносный пакет. Вредоносный код перезаписывал файлы на компьютере пользователей с IP адресами из России и Белорусии, и заменял их смайликом.

По словам Snyk, инструмент ipc-node использовался в пакетах, включая инструмент командной строки Vue.js. Уязвимости присвоен идентификатор CVE-2022-23812 с оценкой CVSS 9,8 (критическая).

После инцидента Миллер подвергся жесткому преследованию. Кто то позвонил в полицию и предупредил о ложной чрезвычайной ситуации, в результате чего он был избит полицией. Также неизвестные взломали его твиттер.

«Насколько мне известно, ни один компьютер не пострадал, если только люди не попытались сделать так, чтобы мой код делал что-то, чего на самом деле не было», — сказал он. «Единственное, что произошло на самом деле, было задокументировано и лицензировано в файлах исходного кода, был добавлен файл на рабочий стол с посланием мира, морали и попыткой вспомнить о прощении, когда все это закончится».

Подробный анализ Snyk отвергает слова Миллера. Компания обвиняет Нодзаки Миллера в попытке скрыть распространение вредоносного ПО.