Lo sviluppatore Brandon Nozaki Miller, noto come RIAEvangelist, ha scelto un modo piuttosto inusuale per protestare contro la guerra in Ucraina. Circa una settimana fa ha deliberatamente sabotato la libreria JavaScript node-ipc, aggiungendo un codice che elimina tutti i file sui computer degli utenti russi e bielorussi. In pratica uno dei pacchetti più utilizzati (oltre un milione di download a settimana) è stato trasformato in un wiper.
Protestware: nuova forma di cyberattacco
Circa due settimane fa, RIAEvangelist ha pubblicato su GitHub il modulo peacenotwar che mostra sul desktop un messaggio di pace come protesta non violenta contro l’invasione dell’Ucraina da parte della Russia. Lo sviluppatore ha successivamente aggiunto il modulo come dipendenza della libreria node-ipc.
Quando usato in altri progetti, tra cui Vue.js CLI, il modulo peacenotwar verifica l’indirizzo IP del computer. Se viene rilevato un indirizzo IP russo o bielorusso, il software sovrascrive tutti i file il simbolo del cuore. Lo sviluppatore ha negato le accuse di sabotaggio, ma altri utenti hanno scoperto le sue intenzioni. GitHub ha pubblicato un avviso di sicurezza per comunicare che le versioni 10.1.1 e 10.1.2 di node-ipc sono vulnerabili (CVE-2022-23812). Il codice è stato rimosso nella versione 10.1.3.
Ovviamente molti utenti hanno criticato l’operato dello sviluppatore, affermando di aver distrutto la sua carriera e danneggiato la credibilità dell’intera community open source. Alcuni di essi hanno suggerito di creare un fork di node-ipc e abbandonare la versione originaria. Il cosiddetto protestware è stato scoperto anche in altri pacchetti disponibili su GitHub. Questa forma di protesta potrebbe causare danni enormi, se il codice viene utilizzato in sistemi che gestiscono infrastrutture critiche.