La strana storia del pacchetto npm peacenotwar nato protest-ware e diventato in poco tempo malware
Come prevedibile, una situazione geopolitica come quella attualmente tra Ucraina e Russia raramente rimane limitata ai suoi confini geografici, tanto più nell’era hi-tech in cui ci troviamo. Sebbene, infatti, tale guerra si stia combattendo anche nel cyberspazio con hacker/cracker di entrambe le fila, anche volontari esterni che hanno letteralmente formato una legione straniera, ciò che tuttavia non era così prevedibile è che anche il mondo dell’open-source ne sia risultato coinvolto, con un danno alla sua immagine e reputazione e con una vicenda che crea sicuramente un precedente.
Tutto sembra iniziato quando Brandon Nozaki Miller ha pubblicato su GitHub un pacchetto npm chiamato peacenotwar. Tale pacchetto si limitava a mostrare un messaggio di protesta contro la guerra e supporto per l’Ucraina. Se tutto ciò dovrebbe già far discutere, al di là di quanto lodevole o condivisibile possa essere un determinato messaggio, quello di cui raccontiamo qui è la slippery slope, e cioè l’effetto domino, che di lì a poco si è generato.
Il pezzo di codice che di per sé risultava innocuo è diventato infatti un malware a tutti gli effetti che ripulisce i filesystem cancellando i dati dei malcapitati se essi hanno IP Russi o Bielorussi. Il tutto è degenerato quando tale pacchetto è stato aggiunto dallo stesso sviluppatore come dipendenza a node-ipc, che a sua volta è dipendenza di @vue/cli e di altri popolari progetti JavaScript, diventando a tutti gli effetti un supply chain attack.
Non una nuova Solarwinds, ma senz’altro un gesto che deve far riflettere su quale sia il modo giusto o sbagliato di mostrare la propria posizione. Anche su quanto senso possa avere colpire la popolazione di due paesi in guerra, dal momento che raramente una guerra è scelta o anche supportata dalle maggioranze.
Se si poteva, quindi, tollerare un messaggio, nonostante la questionabile scelta del metodo, qui si è decisamente oltrepassata una linea, sia di legalità con un reato commesso dal developer in questione e sia di etica e logica, dal momento che si è inflitto un danno indistintamente a chiunque si trovi dentro determinati confini geografici, indipendentemente dal suo ruolo o posizione nei confronti della situazione. Sono pochi i dubbi sul fatto che l’obiettivo raggiunto da questa azione sia in grossa parte quello di danneggiare cittadini comuni che hanno perso ricordi di una vita, medici o altro personale sanitario che si è ritrovato improvvisamente senza le informazioni su pazienti, giornalisti che hanno perso materiale e articoli e che potevano far passare lo stesso messaggio in modo migliore.
Non è il primo caso e probabilmente non sarà l’ultimo, ma è chiaro che la guerra, se proprio deve essere, non può passare dalla community, né colpirla.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
