Open Source: NPM-Paket löscht Dateien aus Protest gegen Ukrainekrieg

Ein weitverbreitetes NPM-Paket löscht die Dateien von russischen Entwicklern und vervielfältigt Anti-Kriegsbotschaften.

Artikel veröffentlicht am ,
Ein Paket
Ein Paket (Bild: dominikrabalski/Pixabay)

Aus Protest gegen den Ukrainekrieg veröffentlichte der Entwickler des beliebten NPM-Paketes Node-IPC eine sabotierte Version der Bibliothek. Neue Versionen des Paketes begannen damit, alle Dateien auf den Rechnern von Entwicklern aus Russland oder Belarus zu überschreiben und Textdateien mit Botschaften gegen den Krieg zu erstellen.

Stellenmarkt
  1. Leitung (m/w/d) des EDV-Amtes
    Landkreis Stade, Stade
  2. Professional IT Service Mitarbeiter (m/w/d)
    Applied Security GmbH, Großwallstadt, Home-Office
Detailsuche

Das Node-IPC-Paket ist mit rund einer Million wöchentlichen Downloads weit verbreitet und wird beispielsweise von Bibliotheken wie Vue.js CLI verwendet. Bereits am 7. März fügte der Entwickler besagte Schadfunktion hinzu, welche die externe IP-Adresse des Systems ausliest. Wird diese Russland oder Belarus zugeordnet, werden Dateien gelöscht und stattdessen die Botschaften platziert.

Laut dem Onlinemagazin Bleepingcomputer enthalten die Versionen 10.1.1 und 10.1.2 den Schadcode (CVE-2022-23812). Insbesondere die Datei ssl-geospec.js enthalte base64-codierte Zeichenfolgen und andere Verschleierungstaktiken, um den Zweck des Programmes zu verbergen.

Weitere Node-IPC-Versionen protestieren weniger destruktiv gegen den Krieg

Die Node-IPC-Versionen 9.2.2, 11.0.0 und höher enthalten zudem ein Modul mit dem Namen peacenotwar, welches Dateien mit mehrsprachigen Botschaften gegen den Krieg auf dem Desktop ablegt. Entsprechende Open-Source-Softwarepakete mit den Namen peacenotwar und oneday-test hatte der Node-IPC-Entwickler RIAEvangelist am 8. März auf NPM und Github veröffentlicht.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
  2. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    01.-03.08.2022, virtuell
Weitere IT-Trainings

"Dieser Code dient als nicht-destruktives Beispiel dafür, warum es wichtig ist, seine Node-Module zu kontrollieren", erklärt RIAEvangelist. "Er dient auch als gewaltfreier Protest gegen die russische Aggression, die die Welt gerade bedroht." Insgesamt verwaltet RIAEvangelist 40 Pakete auf NPM.

Die Aktion sieht sich scharfer Kritik ausgesetzt. Das Verhalten gehe weit über friedlichen Protest hinaus und führe zerstörerische Funktionen ohne jegliche Warnung für ehrliche Nutzer ein. Ein Github-Nutzer bezeichnete dies als "großen Schaden" für die Glaubwürdigkeit der gesamten Open-Source-Gemeinschaft.

Hierbei handelt es sich bereits um den zweiten Fall in diesem Jahr, in dem Entwickler ihre NPM-Pakete sabotieren. Bereits im Januar hatte der Entwickler der millionenfach genutzten NPM-Pakete Colors und Faker diese unbrauchbar gemacht.

Nachtrag vom 18. März 2022, 15:25 Uhr

In einem Ticket auf Github kritisiert ein Nutzer, der angibt, ein Mitglied einer US-NGO zu sein, dass auch ein Server der NGO in Belarus durch die Löschaktion der Software betroffen sei. Der Server sei von der NGO genutzt worden, um trotz der Internetzensur Kontakt mit Whistleblowern aufnehmen zu können. 2.500 Whistleblower hätten die NGO seit dem Start im Jahr 2014 über verschiedene Missstände vor Ort informiert.

Durch eine Aktualisierung des Moduls Node-IPC seien alle Daten gelöscht worden. Das letzte Backup stamme vom 20. Februar und damit noch aus der Zeit vor der russischen Invasion in der Ukraine. Seitdem hätten sich die Informationseingänge vervielfacht. "Ich kann nur sagen, dass Ihr kleiner Unfug uns mehr geschadet hat, als es Putin oder Lukaschenka je könnten", betonte der Github-Nutzer.

Alle aktuellen Golem.de-Artikel und weitere News zum Ukraine-Krieg finden sich in unserem Liveblog.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


janoP 21. Mär 2022

Wenn Trump ausschließlich von dummen Leuten gewählt worden wäre, würde deine...

Vogel22 21. Mär 2022

Ich nehme an, das hängt einerseits an der Entwicklergemeinschaft und andererseits an den...

Vogel22 21. Mär 2022

Gute Idee! Müsste mal einer in sein Paket einbauen: if (ip in NSA_IP_RANGE) { __for each...

Dwalinn 21. Mär 2022

Also ich halte es schon für Unplausibel das das mehr Schaden angerichtet hat als ein...



Aktuell auf der Startseite von Golem.de
Cloud Cam
Amazon macht eigene Überwachungskamera unbrauchbar

Eine fünf Jahre alte Überwachungskamera wird noch dieses Jahr von Amazon außer Betrieb genommen. Kunden erhalten Ersatz, der vielen aber nichts nützt.

Cloud Cam: Amazon macht eigene Überwachungskamera unbrauchbar
Artikel
  1. 30 Jahre Alone in the Dark: Als der Horror filmreif wurde
    30 Jahre Alone in the Dark
    Als der Horror filmreif wurde

    Alone in the Dark feiert Geburtstag. Das Horrorspiel war ein Meilenstein bei der filmreifen Inszenierung von Games. Wie spielt es sich heute?
    Von Andreas Altenheimer

  2. Deutsche Telekom: Spezieller Smartphone-Tarif für Flüchtlinge aus der Ukraine
    Deutsche Telekom
    Spezieller Smartphone-Tarif für Flüchtlinge aus der Ukraine

    Wenn Flüchtlinge aus der Ukraine eine kostenlose SIM-Karte der Deutschen Telekom nutzen, können sie bald in den neuen Tarif wechseln.

  3. Update-Installation dauert: Störungen bei Kartenzahlungen im Einzelhandel bleiben
    Update-Installation dauert
    Störungen bei Kartenzahlungen im Einzelhandel bleiben

    Es gibt ein Update, um die Zahlungsstörungen mit Giro- oder Kreditkarte zu beseitigen. Die Verteilung des Updates braucht aber noch Zeit.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (ASUS VG30VQL1A QHD/200 Hz 329€ statt 399,90€ im Vergleich) • Apple iPhone 12 128 GB 669€ statt 699€ im Vergleich• Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. MSI MPG X570 Gaming Plus 119€ statt 158,90€ im Vergleich) [Werbung]
    •  /