Ketergantungan paket npm ‘Protestware’ berlabel serangan rantai pasokan – Keamanan
Technology

Ketergantungan paket npm ‘Protestware’ berlabel serangan rantai pasokan – Keamanan

Invasi Rusia ke Ukraina telah meluas ke ruang pengembang, dengan pengelola npm terkenal menambahkan “protestware” sebagai ketergantungan pada paket yang sangat populer.

Vendor keamanan Snyk melacak apa yang dikatakannya sebagai kerentanan dan insiden keamanan rantai pasokan, yang melibatkan paket npm peacenotwar.

Paket peacenotwar ditulis dan diterbitkan oleh pengelola npm Brandon Nozaki Miller, yang juga dikenal sebagai RIAEvangelist, Sparky and Electric Cowboy, dan yang merupakan pembalap motor listrik profesional berlisensi pertama di dunia.

Miller bermaksud modul itu menjadi “protestware”, untuk mencerminkan penentangan orang-orang terhadap perang.

“Kode ini berfungsi sebagai contoh non-destruktif mengapa mengontrol modul node Anda itu penting.

“Ini juga berfungsi sebagai protes tanpa kekerasan terhadap agresi Rusia yang mengancam dunia saat ini.

Modul ini akan menambahkan pesan perdamaian di desktop pengguna Anda, dan hanya akan melakukannya jika belum ada hanya untuk bersikap sopan,” tulis Miller dalam deskripsi modul.

Snyk mengatakan hampir tidak ada orang yang mengunduh paket npm sampai paket tersebut ditambahkan sebagai ketergantungan oleh Miller ke modul node-ipc pada versi 9.2.2 dan 11.0.0.

Node-ipc menyediakan layanan komunikasi antar-proses yang cepat melalui soket UNIX, dan protokol transportasi data internet yang populer.

Node-ipc Miller adalah modul komunikasi antar-proses yang populer, dan digunakan oleh sejumlah pengembang Javascript dalam kerangka kerja seperti Vue.js dan Node.js.

Snyk menyebut ketergantungan peacenotwar untuk node-ipc sebagai tindakan berbahaya oleh Miller, mencatat bahwa ia memelihara lebih dari 40 paket npm lainnya dengan ratusan juta unduhan.

“Bagaimana hal itu mencerminkan reputasi dan kepentingan pengelola di masa depan dalam komunitas pengembang?

“Apakah pengelola ini akan dipercaya lagi untuk tidak menindaklanjuti tindakan di masa depan dalam tindakan seperti itu atau bahkan lebih agresif untuk proyek apa pun yang mereka ikuti?” tulis Snyk.

Snyk menambahkan bahwa insiden tersebut menggambarkan dampak ketergantungan bersarang, yang dapat mencapai proyek ekosistem utama.

Posted By : pengeluaran hk hari ini 2021