Forwarded from SecAtor
Очередной нокдаун нанесен экосистеме сообщества открытого исходного кода.
На этот раз российский разработчик Виктор Мухачев npm-пакета event-source-polyfill решил выразил протест российским пользователям, в связи с проведением военной операции на Украине.
17 марта также известный как Yaffle добавил фрагмент кода в свою популярную библиотеку
Polyfill реализует существующие функций JavaScript в веб-браузерах, которые могут их не поддерживать. Пакет расширяет API-интерфейсы EventSource от Mozilla для других браузеров, в которых эта концепция может отсутствовать. Polyfill используется более чем в 135 000 репозиториях GitHub и загружается более 600 000 раз в неделю на npm.
Однако вновь вышедшая версия 1.0.26 event-source-polyfill запускает антивоенные сообщения пользователям из России через 15 секунд после старта и по-прежнему доступна на npm и GitHub. Приложение с обновленным кодом отображает основные тезисы антироссийской пропаганды, рекламу BBC и содержит ссылку на петицию Change.org с примерно аналогичным содержанием, которую подписали якобы 1,2 миллиона.
Печальнее другое, в частности, исследователи Checkmarx надолго после инцидента с polyfill нашли последователей из числа разработчиков npm с миллионами еженедельных загрузок, среди которых оказались es5-ext и styled-components.
Как отмечают многие исследователи, грубое нарушение этических границ и проявленный саботаж отдельных разработчиков в целом подрывают и без того шаткое доверие к библиотекам с открытым исходным кодом, что на фоне участившихся атак на цепочки зависимостей вызывает более критическую реакцию участников сообщества, нежели понимание и поддержку.
На этот раз российский разработчик Виктор Мухачев npm-пакета event-source-polyfill решил выразил протест российским пользователям, в связи с проведением военной операции на Украине.
17 марта также известный как Yaffle добавил фрагмент кода в свою популярную библиотеку
Polyfill реализует существующие функций JavaScript в веб-браузерах, которые могут их не поддерживать. Пакет расширяет API-интерфейсы EventSource от Mozilla для других браузеров, в которых эта концепция может отсутствовать. Polyfill используется более чем в 135 000 репозиториях GitHub и загружается более 600 000 раз в неделю на npm.
Однако вновь вышедшая версия 1.0.26 event-source-polyfill запускает антивоенные сообщения пользователям из России через 15 секунд после старта и по-прежнему доступна на npm и GitHub. Приложение с обновленным кодом отображает основные тезисы антироссийской пропаганды, рекламу BBC и содержит ссылку на петицию Change.org с примерно аналогичным содержанием, которую подписали якобы 1,2 миллиона.
Печальнее другое, в частности, исследователи Checkmarx надолго после инцидента с polyfill нашли последователей из числа разработчиков npm с миллионами еженедельных загрузок, среди которых оказались es5-ext и styled-components.
Как отмечают многие исследователи, грубое нарушение этических границ и проявленный саботаж отдельных разработчиков в целом подрывают и без того шаткое доверие к библиотекам с открытым исходным кодом, что на фоне участившихся атак на цепочки зависимостей вызывает более критическую реакцию участников сообщества, нежели понимание и поддержку.
Checkmarx
New Protestware Found Lurking in Highly Popular NPM Package
Two popular packages, “styled-components” and “es5-ext”, with millions of weekly downloads and thousands of dependent projects, released new Protestware versions. The new versions verify that the infected machine belongs to a Russian user and if so, alter…
Forwarded from Dan Belgrad
Коллеги, как мы помним, среда должна быть безопасной! Сегодня вышла новая часть нашего гайда по построению безопасной инфраструктуры - "Безопасность Kubernetes"
https://cloud.yandex.ru/docs/overview/security/domains/kubernetes
Это уникальный гайд по безопасности, который раскрывает такие темы, как:
- сетевая безопасность
- аутентификация и управление доступом
- безопасная конфигурация
- шифрование данных и управление секретами
- политики безопасности
- сбор, мониторинг, анализ аудитных логов и др.
Гайд подкреплен ссылками на наши решения из Security Solution Library, которые вы можете использовать согласно инструкциям. Будьте с нами, будьте в безопасности!
https://cloud.yandex.ru/docs/overview/security/domains/kubernetes
Это уникальный гайд по безопасности, который раскрывает такие темы, как:
- сетевая безопасность
- аутентификация и управление доступом
- безопасная конфигурация
- шифрование данных и управление секретами
- политики безопасности
- сбор, мониторинг, анализ аудитных логов и др.
Гайд подкреплен ссылками на наши решения из Security Solution Library, которые вы можете использовать согласно инструкциям. Будьте с нами, будьте в безопасности!