La strana storia del pacchetto npm peacenotwar nato protest-ware e diventato in poco tempo malware

2 years ago 357

Come prevedibile, una situazione geopolitica come quella attualmente tra Ucraina e Russia raramente rimane limitata ai suoi confini geografici, tanto più nell’era hi-tech in cui ci troviamo. Sebbene, infatti, tale guerra si stia combattendo anche nel cyberspazio con hacker/cracker di entrambe le fila, anche volontari esterni che hanno letteralmente formato una legione straniera, ciò che tuttavia non era così prevedibile è che anche il mondo dell’open-source ne sia risultato coinvolto, con un danno alla sua immagine e reputazione e con una vicenda che crea sicuramente un precedente.

Tutto sembra iniziato quando Brandon Nozaki Miller ha pubblicato su GitHub un pacchetto npm chiamato peacenotwar. Tale pacchetto si limitava a mostrare un messaggio di protesta contro la guerra e supporto per l’Ucraina. Se tutto ciò dovrebbe già far discutere, al di là di quanto lodevole o condivisibile possa essere un determinato messaggio, quello di cui raccontiamo qui è la slippery slope, e cioè l’effetto domino, che di lì a poco si è generato.

Il pezzo di codice che di per sé risultava innocuo è diventato infatti un malware a tutti gli effetti che ripulisce i filesystem cancellando i dati dei malcapitati se essi hanno IP Russi o Bielorussi. Il tutto è degenerato quando tale pacchetto è stato aggiunto dallo stesso sviluppatore come dipendenza a node-ipc, che a sua volta è dipendenza di @vue/cli e di altri popolari progetti JavaScript, diventando a tutti gli effetti un supply chain attack.

Non una nuova Solarwinds, ma senz’altro un gesto che deve far riflettere su quale sia il modo giusto o sbagliato di mostrare la propria posizione. Anche su quanto senso possa avere colpire la popolazione di due paesi in guerra, dal momento che raramente una guerra è scelta o anche supportata dalle maggioranze.

Se si poteva, quindi, tollerare un messaggio, nonostante la questionabile scelta del metodo, qui si è decisamente oltrepassata una linea, sia di legalità con un reato commesso dal developer in questione e sia di etica e logica, dal momento che si è inflitto un danno indistintamente a chiunque si trovi dentro determinati confini geografici, indipendentemente dal suo ruolo o posizione nei confronti della situazione. Sono pochi i dubbi sul fatto che l’obiettivo raggiunto da questa azione sia in grossa parte quello di danneggiare cittadini comuni che hanno perso ricordi di una vita, medici o altro personale sanitario che si è ritrovato improvvisamente senza le informazioni su pazienti, giornalisti che hanno perso materiale e articoli e che potevano far passare lo stesso messaggio in modo migliore.

Non è il primo caso e probabilmente non sarà l’ultimo, ma è chiaro che la guerra, se proprio deve essere, non può passare dalla community, né colpirla.

Tags: , , , ,

Navigazione articoli

Read Entire Article